Группа участников программы Bug Bounty криптобиржи Kraken вывели $3 млн, которые принадлежали казначейству компании, воспользовавшись обнаруженной «экстремально критической» уязвимостью.
Перед этим один пользователь с KYC сообщил о баге через интерфейс Bug Bounty и получил за это вознаграждение, согласно условиям программы. После этого сообщил об уязвимости двум другим участникам, и они совместно вывели $3 млн, после чего потребовали у биржи дополнительное вознаграждение за возврат средств. Kraken назвала этот инцидент «вымогательством».
Биржа сообщила об успешном устранении этой уязвимости, которая позволяла вручную завышать баланс и выводить средства.
