اعرض المزيد

ثغرة بقيمة 3 ملايين دولار في بورصة كراكن تلوِّح بفضيحة في الأفق

3 mins
بواسطة Najma Noui
تم التحديث وفقاً لـ عبدالحكيم أبوبكر

الموجز

  • كراكن تكشف أنها تعرضت للابتزاز من مكتشفي الثغرات وسحب 3 ملايين دولار
  • CertiK كانت وراء العمليات المشبوهة في بورصة كراكن وتكشف روايتها للأحداث وقيامها بسحب وايداع الأموال في كراكن دون رقابة لاختبار أمان البورصة!
  • برومو

بدا وكأنه تنبيه، عندما كشف نيك بيركوكو، رئيس الأمن في بورصة كراكن للعملات الرقمية، عن اكتشاف مشكلة أمنية كبيرة على المنصة. لكن يظهر أن هناك جانباً آخر للقصة يدل أنها فضيحة، حيث تبدو الأمور أكبر مما أعلن عنه المسؤول في كراكن ... هل هناك شخص قد نهب 3 ملايين دولار؟

كراكن تكشف أنها تعرضت للابتزاز مكتشفي الثغرات وسحب 3 ملايين دولار

تفاجأ عالم العملات الرقمية عندما كشف نيك بيركوكو، رئيس قسم الأمن في البورصة، عن اكتشاف خطأ يُعتبر "بالغ الأهمية" في بورصة كراكن. خاصةً أن البورصة اكتسبت سمعة طيبة فيما يتعلق بالأمان منذ إنشائها في عام 2011.

في تصريح على X، أوضح نيك بيركوكو أنه من الأمور الشائعة جداً استلام تقارير خاطئة في برنامج المكافآت Bug Bounty. والذي تقدمه الشركات للأشخاص الذين يبلغون عن الثغرات الأمنية.

وعلى الرغم من ذلك، أوضح أنه أخذ البلاغ في الاعتبار وعالجه بأسرع ما يمكن، واكتشف "ثغرة معزولة" في بضع دقائق فقط. باختصار، من شأن هذا الخلل أن يمكّن المهاجم من تلقي الأموال دون الحاجة إلى إيداع حقيقي في حسابه على كراكن.

ولإرضاء المجتمع، أكد لهم رئيس الأمن في كراكن أن فريقه تعامل مع هذا التقرير الحرج وخفف من المخاطر الرئيسية في 47 دقيقة فقط.

في غضون ساعات قليلة فقط، تم حل المشكلة، مما جعل من المستحيل إعادة إنتاج الخلل. يبدو أن الخلل ناجم عن تغيير في تجربة المستخدم (UX) التي لم يتم اختبارها لهذا النوع المحدد من الهجمات.

بعد حل المشكلة، قامت كراكن بعد ذلك بالتحقيق في مصدر البلاغ. ويُزعم أن الباحث الأمني المزعوم قد أضاف 4 دولارات من العملات الرقمية إلى حسابه (مع "اعرف عميلك") لغرض التحقيق.

👈 اقرأ المزيد: وحده "DYOR" يمكن أن يكون مساعدك المالي في عالم العملات المشفرة..كيف؟

ومع ذلك، وفقًا لنيك بيركوكو، لم يتوقف الأمر عند هذا الحد: وزعم أن مكتشف الثغرة شارك هذه الثغرة مع زميلين آخرين. مما سمح باستغلال الثغرة لسحب 3 ملايين دولار من حسابين منفصلين آخرين في بورصة كراكن!

نظرًا لأن تقرير المكافأة الأولي لم يكن وصفيًا بما فيه الكفاية، طلبت فرق كراكن من الأفراد الذين استغلوا الثغرة لمزيد من المعلومات. رفض الأخيرون وطالبوا بإجراء مكالمة مع فرق مبيعات البورصة.

وبالإضافة إلى ذلك، رفضوا إعادة الأموال حتى تقدم كراكن مكافأة مساوية لمقدار الضرر الذي يمكن أن يكون الثغرة قد تسببت فيه!

القصة لا تنتهي عند خطأ أمني ... تقدم CertiK روايتها للأحداث وتكشف قيامها بسحب وايداع الأموال لاختبار أمان البورصة!

على الرغم من أن كراكن لم تفصح عن هوية الشخص الذي يقف وراء مكافأة الثغرة. إلا أن شركة CertiK، وهي شركة رائدة في مجال أمن البلوكتشين، تحدثت على X بعد ساعات قليلة من تغريدة نيك بيركوكو.

في البيان، أعلنت الشركة أنها اكتشفت الخلل في نظام الإيداع في كراكن، وأنها أجرت تحقيقًا متعمقًا في عدة نقاط.

تتعلق هذه النقاط بالتلفيق المصطنع لصفقة إيداع على حساب كراكن، وإمكانية سحب هذه الأموال والضوابط المرتبطة بمخاطر وحماية الأصول المرتبطة بطلب السحب المترتب على ذلك.

وأفادت التقارير أن البورصة الخاضعة للتحقيق قد فشلت في جميع هذه الاختبارات:

"يمكن سحب مبلغ يزيد عن مليون دولار وتحويله إلى عملات رقمية صالحة دون أن يؤدي ذلك إلى إطلاق أي تنبيهات!"، حسبما ذكرت الشركة الأمنية.

تقول الشركة الأمنية أنه بعد مناقشات مثمرة حول تحديد وإصلاح الثغرات الأمنية. كما زعمت أن فريق الأمن في كراكن "هدد موظفي CertiK برد مبلغ غير صحيح من العملات الرقمية، في إطار زمني غير معقول ودون حتى توفير عنوان استرداد الأموال".

ونتيجة لذلك، نشرت CertiK التفاصيل الكاملة لقضيتها. وفقًا للجدول الزمني للأحداث، تم الإبلاغ عن أول تنبيه في 5 يونيو. وأعقب ذلك عدة جولات من الإيداعات بين 5 و 9 يونيو، عندما تم سحب جميع الإيداعات.

تم الاتصال الأولي مع شركة كراكن في 10 يونيو. لكن بعد اجتماع ثانٍ في 18 يونيو، تدهورت العلاقة بشكل حاد بعد التهديدات التي أبلغت عنها CertiK.

وتوضح الشركة أن "عمليات السحب الكبيرة والمستمرة من حسابات الاختبار المختلفة كانت جزءًا من اختبارنا". وفي نهاية البيان، أشارت أيضًا إلى أنها أتاحت جميع الأموال المتورطة في القضية لشركة كراكن في حساب يمكن الوصول إليه.

أفضل منصة كريبتو في الإمارات
أفضل منصة كريبتو في الإمارات
أفضل منصة كريبتو في الإمارات

Trusted

إخلاء مسؤولية

جميع المعلومات المنشورة على موقعنا الإلكتروني تم عرضها على أساس حسن النية ولأغراض المعلومات العامة فقط. لذا، فأي إجراء أو تصرف أو قرار يقوم به القارئ وفقاً لهذه المعلومات يتحمل مسؤوليته وتوابعه بشكل فردي حصراً ولا يتحمل الموقع أية مسؤولية قانونية عن هذه القرارات.

bic_Crypto_in_Arab_neutral_3-1.png
Najma Noui
حصلت نجمة على الماجيستير في الإحصاء التطبيقي والاقتصاد القياسي قبل أن تكتسب خبرة كبيرة في تحليل البيانات والتطوير التجاري. وتهتم بمجال تكنولوجيا المالية FinTech، بلوكتشين، الويب 3، الذكاء الإصطناعي وسوق الأصول المشفرة ومشتقاتها. شاركت نجمة في العديد من الفعاليات والأحداث العالمية في صناعة الكريبتو. كما أنها حاورت العديد من مشاهير وأقطاب الصناعة.
READ FULL BIO
برعاية
برعاية
للإعلان والمبيعات: https://ar.beincrypto.com/sales/