Thứ Năm, 25 Tháng Bảy, 2024

Sàn Kraken có lỗ hổng bị hacker rút đi 3 triệu USD, hung thủ không ai khác là CertiK

-

Sự cố của Kraken diễn ra vào ngày 09/06/2024, với lỗi cho phép bất kỳ ai khởi tạo giao dịch gửi tiền lên sàn rồi nhận tiền mà không cần hoàn tất giao dịch.

Tối ngày 19/06/2024, Giám đốc An ninh (CSO) Nick Percoco của sàn giao dịch tiền mã hóa Kraken thông báo đã khắc phục thành công sự cố bị kẻ xấu “đánh cắp” 3 triệu USD tài sản crypto từ kho bạc, đảm bảo không có người dùng nào bị thiệt hại bởi vụ việc. Tuy nhiên, số tiền thất thoát vẫn đang nằm trong tay của những hacker này và họ tuyên bố không trả lại tiền.

Trước đó vào ngày 09/06/2024, Kraken nhận được cảnh báo về một lỗ hổng bảo mật được đánh giá là “cực kỳ nghiêm trọng” từ chương trình Bug Bounty, cho phép kẻ xấu tùy ý điều chỉnh tăng số dư tài khoản trên sàn.

Ngay sau đó, đội ngũ Kraken đã điều tra vấn đề và phát hiện ra một lỗ hổng cho phép hacker có thể “in thêm” tài sản crypto trong tài khoản trên sàn, bằng cách khởi tạo giao dịch gửi tiền rồi nhận tiền vào tài khoản của họ mà không cần hoàn tất giao dịch.

Ông Nick Percoco xác định lỗi này xuất phát từ một bản cập nhật UX gần đây, khiến cho hệ thống tự động ghi có vào tài khoản, trước khi tài sản thực tế được gửi đến sàn giao dịch.

Mặc dù lỗ hổng đã được khắc phục trong chưa đầy 1 tiếng đồng hồ kể từ khi phát hiện và tài sản của khách hàng không bị ảnh hưởng, nhưng khoảng thời gian “ngắn ngủn” đó đủ để hacker lợi dụng “đánh cắp” tiền mã hóa trị giá hàng triệu đô la từ kho bạc của Kraken.

Kết quả điều tra cho thấy, thủ phạm không phải ai xa lạ, chính là cá nhân đã phát hiện lỗ hổng bảo mật đầu tiên và phát đi cảnh báo cho Kraken để nhận tiền thưởng “hacker mũ trắng” từ chương trình Bug Bounty của sàn.

Đáng chú ý, cá nhân tự nhận mình là “nhà nghiên cứu bảo mật” đã tiết lộ lỗ hổng của Kraken cho hai người cộng sự khác, để rồi dẫn tới việc sàn giao dịch bị “bòn rút” gần 3 triệu USD tài sản tiền mã hóa trong kho bạc.

Kraken đã gửi yêu cầu trả lại tiền cùng đề nghị đính kèm một bản báo cáo quá trình khai thác lỗ hổng này để có thể chuyển phần thưởng Bug Bounty.

Tuy nhiên, các “nhà nghiên cứu bảo mật” đã từ chối trả tiền với lý do “quy mô thất thoát có thể lớn không thể tưởng tượng được nếu họ không cảnh báo trước đó cho sàn giao dịch”. Thậm chí, những kẻ tấn công còn cáo buộc những yêu cầu của Kraken là “không hợp lý” và “thiếu chuyên nghiệp”.

Nick Percoco khẳng định sẽ coi đây là một vụ án hình sự do những cá nhân này đã vi phạm các điều khoản trong chương trình Bug Bounty có thâm niên gần 10 năm của Kraken.

Mặc dù không tiết lộ danh tính những “nhà nghiên cứu bảo mật” bởi không xứng đáng, nhưng Percoco tuyên bố sẽ phối hợp với các cơ quan thực thi pháp luật cũng như sử dụng biện pháp mạnh thu hồi giấy phép hacker.

Trong một diễn biến hết sức bất ngờ, đơn vị thẩm định bảo mật CertiK đã lên tiếng xác nhận họ chính là bên tìm  ra lỗ hổng trên Kraken, khẳng định nó có thể gây thiệt hại lên đến hàng triệu USD cho khách hàng của sàn.  CertiK cho biết đã tiến hành kiểm tra bảo mật Kraken và phát hiện cơ chế bảo mật của sàn có thể bị tấn công theo nhiều cách thức khác nhau.

Đơn vị bảo mật còn tuyên bố sau khi xác định được lỗ hổng, họ đã nhanh chóng thông tin lại cho phía Kraken, nhưng lại bị sàn đe dọa phải trả lại một khoản tiền crypto chênh lệch từ vụ việc, mà lại không cung cấp địa chỉ. CertiK còn đăng tải khung thời gian diễn ra vụ việc và kêu gọi Kraken ngừng truy cứu trách nhiệm các hacker mũ trắng làm việc cho họ, rồi chuyển lượng tiền dư dưới dạng token MATIC về một địa chỉ mà được cho là của Kraken.

Tuy vậy, cộng đồng tiền mã hóa lại chỉ ra nhiều điểm bất hợp lý trong lập luận của phía CertiK khi địa chỉ rút tiền từ Kraken ngay sau đó đã thử gửi giao dịch đến máy trộn Tornado Cash – công cụ che vết giao dịch đã bị chính quyền Mỹ “phong sát” hồi giữa năm 2022, sau đó còn bắt giữ và kết tội các nhà sáng lập của giao thức này.

Một số người còn tìm thấy bằng chứng chỉ ra phía CertiK đã bắt đầu thăm dò hệ thống bảo mật của Kraken từ trước khung thời gian mà đơn vị bảo mật này công bố tận 2 tuần.

Với thông tin mới nhất, có vẻ như hacker tiền mã hóa đã “sẵn sàng” cho một năm 2024 thành công hơn so với năm 2023. Bởi theo một báo cáo từ Immunefi, trong quý đầu tiên của năm 2024, ngành crypto chỉ bị thất thoát 336 triệu USD, tương đương mức giảm 23% so với cùng kỳ năm ngoái.

Để so sánh, số tiền mã hóa bị tin tặc đánh cắp vào năm 2023 vào khoảng 1,95 tỷ USD, chỉ bằng một nửa so với 4 tỷ USD được ghi nhận một năm trước đó.

Đội ngũ quản trị luôn nỗ lực hết mình để đem đến những nội dung chất lượng nhất cho độc giả là các game thủ. Mọi ý kiến đóng góp xin gửi về [email protected]. Xin trân trọng cảm ơn!

GameN

Ban biên tập

BÀI MỚI

MIX Flip dùng sợi nylon

Chiếc smartphone MIX Flip mà Xiaomi giới thiệu mới đây đã gây ngạc nhiên cho giới công nghệ khi sử dụng vật liệu sợi nylon dệt, bên cạnh các lựa chọn vật liệu vỏ khác.

Buồn của Elon Musk

Kết quả kinh doanh không được như mong đợi của nhà đầu tư đã khiến cổ phiếu Tesla bị bán tháo.

Concord tụt dốc

Từ chỗ nhận được vô số sự kỳ vọng, tựa game này đã có màn tụt dốc không phanh trong thời gian qua.

Xiaomi tiếp tục làm nhẫn

Xiaomi gần đây nộp đơn xin cấp bằng sáng chế về việc sử dụng năng lượng mặt trời để sạc các thiết bị đeo trong tương lai, thậm chí bao gồm cả nhẫn thông minh.

Follow us

5,655Thành viênThích
1,204Người theo dõiTheo dõi
2,189Người theo dõiĐăng Ký
Dành cho quảng cáo

ĐỌC NHIỀU