صرافی ارز دیجیتال کراکن اعلام کرد که یک شرکت تحقیقات امنیت سایبری به صورت غیرقانونی، مبلغ ۳ میلیون دلار دارایی دیجیتال را که از طریق سوءاستفاده از یک نقص امنیتی در پلتفرم این صرافی به دست آورده بود، برای خود نگه داشته است.
نیک پرکوکو، مدیر ارشد امنیت کراکن، جزئیات این حادثه را در تاریخ نامعلومی فاش کرد. وی اعلام نمود که این شرکت در تاریخ ۲۰ خرداد، گزارشی ناشناس از یک «پژوهشگر امنیت سایبری» در مورد یک نقص امنیتی بحرانی در سیستم تأمین مالی خود دریافت کرده است.
طبق گفتههای پرکوکو، این نقص که ناشی از یک تغییر اخیر در رابط کاربری (UX) صرافی بود، به بازیگران مخرب اجازه میداد تا موجودی حساب خود را به صورت غیرقانونی افزایش دهند. او توضیح داد:
تیم ما نقصی را در تغییر رابط کاربری شناسایی کرد که باعث اعتبار زودهنگام وجوه به حسابها میشد و به کاربران این امکان را میداد تا قبل از تسویه کامل دارایی، به صورت لحظهای معامله کنند. این تغییر به اندازه کافی در برابر این آسیبپذیری خاص مورد آزمایش قرار نگرفت … [بنابراین] یک مهاجم مخرب میتوانست به طور مؤثر دارایی را در حساب کراکن خود جعل کند.
پس از رفع این نقص، کراکن متوجه شد که سه حساب ظرف چند روز از این نقص سوءاستفاده کردهاند. پرکوکو فاش کرد که این محقق امنیتی ادعایی، اطلاعات را با دو همکار به اشتراک گذاشته است که متعاقباً نزدیک به ۳ میلیون دلار از خزانه کراکن برداشت کردهاند.
پرکوکو اعلام کرد که کراکن با این افراد برای دریافت گزارش کامل و بازگرداندن وجوه برداشتشده تماس گرفته است.
با این حال، این درخواستها با بیاعتنایی مواجه شد. در عوض، این محققان ادعایی، مبلغی گمانهزنی شده را برای خسارات احتمالی ناشی از این نقص که در صورت عدم افشا قابل وقوع بود، مطالبه کردند.
پرکوکو با محکوم کردن این اقدامات به عنوان عملی غیراخلاقی و مجرمانه، گفت:
به عنوان یک محقق امنیت سایبری، مجوز شما برای «نفوذ» به یک شرکت با رعایت قوانین ساده برنامه پاداش باگ که در آن شرکت میکنید، امکانپذیر میشود. نادیده گرفتن این قوانین و اخاذی از شرکت، مجوز شما برای «نفوذ» را لغو میکند. این شما و شرکت شما را به مجرم تبدیل میکند.
در نتیجه، کراکن اکنون با این حادثه به عنوان یک جرم برخورد میکند و در حال همکاری با مقامات اجرای قانون است.
صرافی کراکن تا زمان انتشار این خبر، هنوز به درخواست رسانه کریپتو اسلیت برای اظهارنظر بیشتر پاسخی نداده است.
منبع: CryptoSlate
نظرات کاربران
اولین نفری باشید که نظر می دهید