Kraken в понедельник подтвердила, что ей угрожает преступная группа, которая завладела видеозаписями внутренних систем, содержащих данные клиентов, и криптобиржа публично отказалась выполнять требования злоумышленников.
Главный директор по безопасности Ник Перкоко раскрыл эту угрозу через X 13 апреля 2026 года, заявив, что фирма сотрудничает с федеральными правоохранительными органами в нескольких юрисдикциях для проведения арестов.
Отказ — это правильное решение. Это также просчитанный институциональный сигнал в момент, когда доверие к биржам структурно хрупко.
Ключевые моменты:
- Что было скомпрометировано: Доступ к внутренним системам, содержащим данные клиентов, был получен посредством вербовки инсайдеров — по данным Kraken, полного компрометации систем и угрозы средствам клиентов не было.
- Масштаб: Информация могла быть просмотрена примерно у 2000 человек, что составляет около 0,02% от общей базы пользователей Kraken; все пострадавшие пользователи были уведомлены.
- Механизм вымогательства: Преступники угрожают опубликовать видео внутренних систем Kraken и распространить фрагменты данных клиентов в СМИ и социальных сетях, если их требования не будут выполнены.
- Реакция Kraken: Перкоко публично заявил: «Мы не будем платить этим преступникам; мы никогда не будем вести переговоры с злоумышленниками» — и подтвердил активное участие федеральных правоохранительных органов в нескольких юрисдикциях.
- Схема с инсайдерами: Инцидент в феврале 2025 года включал аналогичное видео, распространенное на криминальном форуме; в обоих случаях был выявлен сотрудник компании.
- Контекст сектора: Атаки типа «wrench attacks» (физическое принуждение) на сотрудников криптоиндустрии выросли более чем на 75% по сравнению с предыдущим годом, при этом CertiK отнесла на счет таких атак более 40 миллионов долларов подтвержденных убытков в прошлом году.
- На что обратить внимание: Смогут ли правоохранительные органы произвести аресты и как отложенные сроки IPO Kraken отразятся на репутационных потерях после второго инцидента с безопасностью подряд.
Как на самом деле работали взлом и вымогательство в Kraken
Это не был эксплойт для сбора учетных данных или уязвимость протокола. Точкой входа как в инциденте в феврале 2025 года, так и в текущей угрозе вымогательства стала вербовка инсайдеров; скомпрометированные лица в организации Kraken предоставили доступ к внутренним системам, что позволило провести разведку, а не полный взлом.
Доступ, по-видимому, был только для чтения, достаточный для записи данных клиентов на видео без немедленного обнаружения.
Перкоко подтвердил, что Kraken получила информацию о видеозаписи, демонстрирующей конфиденциальную информацию о клиентах из ее внутренних криптосистем, — тот же механизм, который использовался в случае в феврале 2025 года, когда аналогичное видео всплыло на криминальном форуме.
В обоих случаях был выявлен внутренний агент. Теперь преступники угрожают распространить эти видеозаписи и связанные с ними данные клиентов среди местных СМИ и в социальных сетях, если Kraken не выполнит неуказанные требования. Точная сумма выкупа публично не разглашается.
Схема, описанная Перкоко, является преднамеренной и масштабируемой. «Мы сотрудничаем с отраслевыми партнерами и правоохранительными органами для расследования и пресечения усилий по вербовке инсайдеров, нацеленных не только на криптокомпании, но и на организации в сфере игр и телекоммуникаций», — сказал он.
Это не оппортунистический хакинг. Это скоординированная инфраструктура вербовки, действующая в секторах с ценными данными, и Kraken прямо заявляет об этом, что важно для реакции отрасли.
Новые векторы кражи криптовалюты все чаще нацелены на доступ к инфраструктуре, а не на on-chain эксплойты, и вербовка инсайдеров соответствует этому профилю угроз.
Какие именно пользовательские данные были раскрыты — и что это позволяет
Криптобиржа Kraken публично не уточнила, какие категории данных были зафиксированы на видео, включая KYC-документацию, адреса кошельков, историю транзакций или метаданные учетных записей.
Что подтверждено: информация была просмотрена примерно у 2000 человек, и Kraken заявляет, что уже связалась со всеми, кто находится в зоне риска. Доступ был только для чтения, и внутренние системы не были скомпрометированы в более широком смысле массового извлечения данных.
Практический риск для пострадавших пользователей — это не захват учетной записи; доступ к средствам не был получен. Риск заключается в целенаправленном социальном инжиниринге и физической уязвимости.
(Источник – TRM Labs)
Имея в руках имена, адреса и данные на уровне учетных записей, пострадавшие пользователи становятся мишенями для того же вектора атак типа wrench attack, который отслеживала CertiK, что привело к убыткам на сумму более 40 миллионов долларов в прошлом году.
Эта цифра, вероятно, занижена, учитывая нормы неполной отчетности. Обращение Kraken к пострадавшим пользователям — правильный процедурный шаг; подтверждено ли это обращение включало конкретные рекомендации по безопасности, рекомендации по аппаратному ключу, смене адреса или повышенной бдительности — не сообщается.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Ahmed Balaha
