Il principale responsabile della sicurezza dell'exchange di criptovalute Kraken, Nick Percoco, ha rivelato che un gruppo di hacker white-hat non divulgato si è rifiutato di restituire risorse digitali per un valore di circa 3 milioni di dollari, che hanno rubato dalle casse della piattaforma sfruttando un bug nel suo sistema.
In una serie di Xpost , Percoco ha affermato che i ricercatori sulla sicurezza chiedono che l'exchange di criptovalute fornisca una quantità di denaro ipotizzata che avrebbe potuto perdere se non avessero rivelato il bug prima di poter restituire i fondi rubati.
I ricercatori sulla sicurezza rivelano il bug di Kraken
Secondo Percoco, un ricercatore di sicurezza ha inviato un avviso del programma Bug Bounty a Kraken il 9 giugno, sostenendo di aver trovato un bug "estremamente critico" che consentiva agli utenti di gonfiare artificialmente il proprio saldo sulla piattaforma. Anche se l'exchange era diffidente nel ricevere quotidianamente numerose segnalazioni di bug bounty falsi, ha preso sul serio il reclamo e ha riunito un team per indagare sul problema.
Il team ha riscontrato un bug che consentiva ai criminali informatici di avviare depositi su Kraken e ricevere fondi sui propri conti senza completare i depositi. Sebbene il bug non mettesse a rischio i fondi dei clienti, un utente malintenzionato potrebbe stampare risorse nei loro conti ed effettuare prelievi che potrebbero essere estratti dalla tesoreria di Kraken.
Il problema è stato contenuto in meno di due ore dall'identificazione. Il team ha scoperto che il bug derivava da un difetto nell'ultima esperienza utente (UX) di Kraken. Dopo ulteriori indagini, Kraken ha scoperto che tre account avevano già sfruttato la falla. Un account era collegato a un utente che affermava di essere un ricercatore di sicurezza.
Si scopre che il ricercatore ha trovato per primo il bug, lo ha sfruttato per accreditare $ 4 in criptovalute sul proprio account Kraken e, invece di presentare una segnalazione di bug bounty al team appropriato, ha informato i suoi due colleghi, che hanno sfruttato il difetto per somme maggiori. Collettivamente, hanno ritirato circa 3 milioni di dollari in criptovalute dai loro conti.
Il Bug Bounty si è trasformato in un'estorsione
Quando Kraken ha contattato i ricercatori della sicurezza e ha chiesto un resoconto delle loro attività e la restituzione dei beni ritirati, hanno rifiutato. Hanno definito Kraken irragionevole e poco professionale e hanno chiesto alla piattaforma di fornire una stima dei danni che il bug avrebbe potuto causare.
Percoco ha detto che Kraken ha affrontato il caso con le forze dell'ordine poiché si tratta di un caso di estorsione.
“Trattiamo questo come un procedimento penale e ci stiamo coordinando di conseguenza con le forze dell’ordine. Siamo grati che questo problema sia stato segnalato, ma questo è dove finisce il pensiero", ha affermato Percoco.
Il post Gli hacker White Hat si rifiutano di restituire i 3 milioni di dollari rubati dal Tesoro di Kraken è apparso per la prima volta su CryptoPotato .