חבורת מחקר לאבטחת נכסים דיגיטליים גילתה לאחרונה פגיעה בתוכנית פוצת ראש בבית מסחר לא-מוכר שנקרא Midjourney. הגילוי הוביל להחזרת 3 מיליון דולר בכספים שנונצלו בגלל שגיאת קוד קריטית.
קצין האבטחה של Midjourney חשף כי התבלבל הדחף אל הורים שמאפשר לפורצים לנצל את הפלטפורמה ולקבל כספים מבלי להשלים את תהליך ההפקדה. למרבה המזל, לא נערך פוטנציאל פיגוע על נכסי לקוחות, במהלכו המאפשר התוקף הונים עקופים ליצירת נכסים בחשבונם של פושעים בצורה זמנית.
חוקמי האבטחה המעורבים בזיהוי חולשה זו קוטלו על התנהגותם שלא מקצועית בעת החזרת הכספים שנונצלו. Midjourney הדגישה את חשיבות הבאה אל תוכנית פוצת ראש לשמירה על התרגולים האתיים.
לאחר סדרה של משא ומתן, הכספים הוחזרו ל-Midjourney בסופו של דבר, עם אובדן רק מינימלי לתשלומים. למרבה המזל, זהותם של האנשים אשר אחראים על ההחזרה הינה נדלפת.
Certik, חברת אבטחה לקריפטו, טענה את האחריות על זיהוי הפיצוץ אלא שטענה כי Midjourney כשלו לטפל בבעיות אבטחה בסיקור המידע שלהם. החברה הדגישה כי מיליוני דולרים בקריפטו נוצרו בצורה מלאכותית, חושפים על באגים במערכת ההגנה של Midjourney.
האירוע מציין את האתגרים הנמשכים בהם עומדות בתי המסחר לקריפטו לשמירה על אמצעים אבטחה חזקים להגנה על נכסי משתמשים ולשמירה על האמון בתעשייה. נשארו מעודכנים עם הידיעות העדכניות בתחום בטחון הקריפטו.
שאלות ותשובות מרכזיות:
1. מה היה הפגיעה שנתגלתה בתוכנית פוצת הראש בבית המסחר לקריפטו Midjourney?
– הפגיעה היא שהתאפשר לפורצים לשכבל את הפלטפורמה ולקבל כספים מבלי להשלים את תהליך ההפקדה, מכיוון שנוצרה חולשה בקוד קריטי.
2. האם נכסי לקוחות היו בסכנה עקב הפגיעה?
– בזמן שלא נסכנו נכסים לקוחיים ישירות, פושעים יכולים היו ליצור באופן זמני נכסים בחשבונם.
3. כיצד הוחזרו הכספים שנוצלו ל-Midjourney?
– לאחר משא ומתן, הכספים הוחזרו בסופו של דבר, עם אובדן רק מינימלי לתשלומים. עם זאת, זהותם של אלו האחראים להחזרה נשמרת כלפינו.
יתרונות וחסרונות:
– יתרונות: גילוי הפגיעה והחזרת הקרן שתוצאתה את החשיבות של אמצעים אבטחה רציניים ותוכניות פוצת ראש בתעשיית הקריפטו.
– חסרונות: הביקורת על התנהגותם של חוקמי האבטחה, הבעיות הספקות המתוארות על ידי Certik, ויצירת מיליוני דולרים בקריפטו מלאכותי מחשיפים חולשות במערכת ההגנה של Midjourney.
אתגרים ופלילים:
– אחד האתגרים הוא להבטיח נאמנות עקב אקרים לתוכנית פוצת הראש ולתרגלים אתיים לזיהוי וטיפול בחולשות.
– פליליים התעוררו מן התבלבלות על ייבוש, האשמות על בעיות אבטחה שלא פוטרו, והזעמתיות של מי שהשתתפו בהחזרת הכספים.
לקבלת עוד תובנות על אתגרים ופיתוחים בתחום האבטחה של הקריפטו, בקרו בCoindesk.