क्रैकेन सिक्योरिटी हेड ने UX बग से 3 मिलियन डॉलर के शोषण का खुलासा किया

अमेरिकी क्रिप्टोकरेंसी एक्सचेंज क्रैकेन को जून की शुरुआत में अपने फंडिंग सिस्टम में सेंधमारी के कारण 3 मिलियन डॉलर का नुकसान हुआ। इस सेंधमारी का श्रेय दुष्ट सुरक्षा शोधकर्ताओं को दिया जाता है, जिसका खुलासा क्रैकेन के मुख्य सुरक्षा अधिकारी निक पेरकोको ने सोशल मीडिया पर सार्वजनिक रूप से किया।

पेर्कोको के अनुसार, क्रैकेन 9 जून को पहली बार एक कथित "सुरक्षा शोधकर्ता" से बग रिपोर्ट प्राप्त हुई। हाल ही में उपयोगकर्ता अनुभव (UX) अपडेट से उत्पन्न दोष ने उपयोगकर्ताओं को संपत्ति निकासी से पहले अपने खातों को क्रेडिट करने की अनुमति दी, जिससे अनधिकृत रीयल-टाइम ट्रेडिंग सक्षम हो गई। पेरकोको ने स्वीकार किया कि तैनाती से पहले इस विशेष हमले वेक्टर के खिलाफ UX परिवर्तन का परीक्षण नहीं किया गया था।

पेरकोको ने कहा, "इस UX परिवर्तन का इस विशिष्ट आक्रमण वेक्टर के विरुद्ध गहन परीक्षण नहीं किया गया था।"

बाद की जांच से पता चला कि इस भेद्यता का तीन अलग-अलग मौकों पर फायदा उठाया गया था, इससे पहले कि इसे ठीक किया जाता। नैतिक प्रकटीकरण प्रथाओं का पालन करने के बजाय, शोधकर्ता ने कथित तौर पर दो साथियों के साथ शोषण को साझा किया, जिसके परिणामस्वरूप क्रैकन के भंडार से लगभग 3 मिलियन डॉलर की अवैध निकासी हुई।

सुरक्षा शोधकर्ता की प्रारंभिक बग रिपोर्ट अधूरी थी, जिससे दोष की पहचान करने के लिए किसी भी पुरस्कार पर विचार करने से पहले आगे सत्यापन की आवश्यकता थी। क्रैकन द्वारा उनके कार्यों का विस्तृत विवरण, अवधारणा का प्रमाण और चुराए गए धन की वापसी के अनुरोध को अस्वीकार कर दिया गया, जिसकी पेरकोको ने "जबरन वसूली" के रूप में निंदा की, जो मानक नैतिक हैकिंग प्रोटोकॉल से अलग है।

अभी तक क्रैकेन ने यह स्पष्ट नहीं किया है कि क्या उन्होंने सभी शामिल पक्षों की पहचान कर ली है या खोई हुई संपत्तियां बरामद कर ली हैं।

source