Участники программы Bug Bounty критобиржи Kraken воспользовались «экстремально критической» уязвимостью для вывода $3 млн

5 месяцев назад
Кража средств Kraken

Группа участников программы Bug Bounty криптобиржи Kraken вывели $3 млн, которые принадлежали казначейству компании, воспользовавшись обнаруженной «экстремально критической» уязвимостью.

Перед этим один пользователь с KYC сообщил о баге через интерфейс Bug Bounty и получил за это вознаграждение, согласно условиям программы. После этого сообщил об уязвимости двум другим участникам, и они совместно вывели $3 млн, после чего потребовали у биржи дополнительное вознаграждение за возврат средств. Kraken назвала этот инцидент «вымогательством».

Биржа сообщила об успешном устранении этой уязвимости, которая позволяла вручную завышать баланс и выводить средства.