La piattaforma di trading di criptovalute Kraken ha segnalato un exploit meno di due settimane fa che le ha fatto perdere quasi 3 milioni di dollari in un attacco correlato a un bug.
L’incidente evidenzia le insicurezze e le vulnerabilità che continuano a infestare il settore.
Kraken ha perso 3 milioni di dollari in un attacco di insetti
Kraken ha rivelato un attacco di bug il 9 giugno, che ha visto il cattivo attore sottrarsi quasi 3 milioni di dollari. Sulla base del rapporto condiviso dal Chief Security Officer di Kraken Nick Percoco, l'exchange ha ricevuto un avviso del programma bug bounty .
“Il 9 giugno 2024, abbiamo ricevuto un avviso relativo al programma Bug Bounty da un ricercatore di sicurezza. Inizialmente non sono stati divulgati dettagli, ma la loro email affermava di aver trovato un bug “estremamente critico” che permetteva loro di gonfiare artificialmente il loro saldo sulla nostra piattaforma”, ha osservato Percoco in un post mercoledì.
La CSO ha osservato che un'ulteriore indagine ha rivelato un bug isolato che concedeva al malintenzionato privilegi immeritati. Nello specifico, potevano avviare un deposito su Kraken Exchange e ricevere fondi sul proprio conto anche se non avevano completato completamente il deposito.
Per saperne di più: Recensione Kraken 2024: sicurezza e funzionalità
Un'analisi forense ha rivelato una vulnerabilità in una recente modifica alla UX sulla piattaforma Kraken. Questo difetto ha consentito a un utente malintenzionato di “stampare risorse” nel proprio account per un periodo di tempo. È importante sottolineare che nessuna risorsa del cliente è stata compromessa e il problema è stato risolto. Tuttavia, un'indagine successiva ha scoperto che tre account avevano già sfruttato il bug a pochi giorni di distanza l'uno dall'altro.
"Dopo aver corretto il rischio, abbiamo indagato a fondo sulla situazione e abbiamo rapidamente scoperto che 3 account avevano sfruttato questo difetto a pochi giorni di distanza l'uno dall'altro. Mentre scavavamo più a fondo, abbiamo notato che un account era stato KYC di un individuo che affermava di essere un ricercatore di sicurezza", ha affermato Percoco.
Un ricercatore di sicurezza ha scoperto un bug nel sistema di finanziamento di Kraken e ha accreditato sul suo conto $ 4 in criptovaluta. Questo importo è stato sufficiente per dimostrare il difetto e presentare una segnalazione di bug bounty, che avrebbe fruttato una ricompensa significativa nell'ambito del programma Kraken.
Invece, il ricercatore ha condiviso il bug con due colleghi, che lo hanno sfruttato per generare in modo fraudolento somme molto più ingenti. Questa collusione ha portato a una perdita di quasi 3 milioni di dollari, prelevati dalle tesorerie di Kraken piuttosto che dai beni dei clienti.
Per saperne di più: I 5 principali difetti nella sicurezza crittografica e come evitarli
L'incidente è culminato in un caso di estorsione dopo che la piattaforma di trading di criptovalute ha tentato di recuperare i fondi dai ricercatori. Kraken ha richiesto un resoconto completo delle attività dei ricercatori, inclusa la prova di concetto utilizzata per creare l'attività on-chain e le modalità per restituire i fondi prelevati.
“Questi ricercatori sulla sicurezza hanno rifiutato. Invece, hanno chiesto una chiamata al loro team di sviluppo aziendale e non hanno accettato di restituire alcun fondo finché non avessimo fornito un importo in dollari ipotizzato che questo bug avrebbe potuto causare se non lo avessero rivelato. Questo non è hacking white-hat , è estorsione!” Percoco si risentì.
Kraken è quindi ricorso a trattare l’accaduto come un procedimento penale, impegnandosi a coordinarsi con le forze dell’ordine. La società di ricerca rimane segreta.
Il post Kraken segnala un exploit legato a bug da quasi 3 milioni di dollari è apparso per la prima volta su BeInCrypto .