Theo Kraken, lỗ hổng này đã khiến sàn thiệt hại ít nhất 3 triệu USD tiền điện tử, nhưng may mắn là tài sản của người dùng không bị ảnh hưởng.
Gần 3 triệu USD đã bị lấy cắp khỏi sàn Kraken
Tối ngày 19/06/2024, Nick Percoco, Giám đốc An ninh của sàn giao dịch tiền mã hóa Kraken, thông báo đã khắc phục thành công lỗ hổng bảo mật cho phép kẻ xấu “đánh cắp” 3 triệu USD từ kho bạc của sàn. Percoco khẳng định không có người dùng nào bị thiệt hại bởi vụ việc, nhưng số tiền vẫn nằm trong tay hacker, và họ tuyên bố không trả lại.
Ngày 19/06/2024, Kraken nhận được cảnh báo về lỗ hổng từ chương trình Bug Bounty, cho phép kẻ xấu tăng số dư tài khoản mà không cần hoàn tất giao dịch. Đội ngũ Kraken phát hiện lỗi này xuất phát từ một bản cập nhật UX gần đây, khiến hệ thống tự động ghi có vào tài khoản trước khi tài sản thực tế được gửi đến.
Dù đã khắc phục trong chưa đầy 1 giờ, khoảng thời gian ngắn ngủi đó đủ để hacker lợi dụng “đánh cắp” số tiền trị giá hàng triệu USD từ kho bạc của Kraken.
Cuộc điều tra cho thấy thủ phạm là cá nhân đầu tiên phát hiện và cảnh báo lỗ hổng để nhận tiền thưởng “hacker mũ trắng” từ chương trình Bug Bounty của Kraken. Cá nhân này tiết lộ lỗ hổng cho hai cộng sự, dẫn đến việc rút gần 3 triệu USD. Kraken đã yêu cầu trả lại tiền và đề nghị đính kèm báo cáo quá trình khai thác lỗ hổng để chuyển phần thưởng Bug Bounty, nhưng bị từ chối với lý do “quy mô thất thoát có thể lớn hơn nếu không cảnh báo trước.”
Percoco gọi hành động này là “tống tiền,” không phải “hack mũ trắng,” và khẳng định sẽ coi đây là vụ án hình sự, phối hợp với cơ quan thực thi pháp luật để thu hồi tiền.
Phản ứng của Certik
CertiK, đơn vị thẩm định bảo mật, xác nhận đã tìm ra lỗ hổng và cho biết nó có thể gây thiệt hại hàng triệu USD cho Kraken. CertiK tuyên bố đã thông báo cho Kraken nhưng lại bị sàn đe dọa phải trả lại khoản tiền chênh lệch mà không cung cấp địa chỉ.
CertiK kêu gọi Kraken ngừng truy cứu trách nhiệm các hacker mũ trắng của họ và chuyển tiền dư dưới dạng token MATIC về địa chỉ của Kraken. Tuy nhiên, cộng đồng tiền mã hóa chỉ ra rằng địa chỉ rút tiền từ Kraken đã thử gửi giao dịch đến máy trộn Tornado Cash để rửa tiền.
Vụ việc này cho thấy hacker tiền mã hóa có thể “thành công” hơn trong năm 2024. Theo báo cáo từ Immunefi, trong quý đầu năm 2024, ngành crypto chỉ bị thất thoát 336 triệu USD, giảm 23% so với cùng kỳ năm ngoái.
Theo dõi CoinMoi để cập nhật những vấn đề HOT nhất của thị trường crypto nhé!!!
