Crypto Exchange Kraken Blackmailed After Bug Bounty Report, $3M Withdrawn From Treasury Assets

Mpost Media Group · 2024-06-19T16:01:42.000Z

Chief Security Officer of the cryptocurrency exchange Kraken, Nick Percoco, shared a post on the social media platform X, informing that on June 9th, a Bug Bounty program alert was received from a security researcher. The alert, received via email, did not provide specific details but mentioned the discovery of an “extremely critical” vulnerability that could potentially inflate the platform’s balance artificially. Kraken identified and addressed a vulnerability that could enable a malicious actor to potentially receive funds in their account without completing the full deposit process. The issue stemmed from a recent user experience (UX) update that allowed client accounts to be credited before their assets had completely cleared, facilitating real-time trading of cryptocurrency markets. This specific UX change had not been adequately tested against such potential attack vectors. Additionally, it was discovered that three accounts had exploited this vulnerability within a short span of time. Upon conducting a thorough investigation, it was determined that one of these accounts belonged to the security researcher who initially identified the bug in the system and reported it. The “security researcher” later shared details of this bug with two associates. Together, these three accounts managed to withdraw nearly $3 million from Kraken’s accounts, specifically from Kraken’s treasuries and not from client assets. After Kraken reached out to the security researchers to discuss rewarding them for discovering a security flaw through its Bug Bounty program, the researchers declined to return any funds until the exchange estimated the potential financial impact of the bug if it had not been reported. Nick Percoco emphasized that the incident was perceived as extortion rather than a legitimate white-hat hacking activity, although he did not reveal the name of the research firm involved. He further noted that Kraken views such an incident as a criminal matter and intends to collaborate with law enforcement agencies as appropriate. To be clear, no client’s assets were ever at risk. However, a malicious attacker could effectively print assets in their Kraken account for a period of time. — Nick Percoco (@c7five) June 19, 2024 Kraken Bug Bounty Program Safeguards Cryptocurrency Users, Acknowledges 22 Reports In 2023 Kraken enables the trading of cryptocurrencies against fiat currencies. Additionally, it offers services for cryptocurrency derivatives and futures trading. Based on information from CoinMarketCap, Kraken holds the sixth position among global cryptocurrency exchanges, with an average daily trading volume of around $741 million. The Bug Bounty program supports Kraken’s mission to safeguard users in the cryptocurrency market. Kraken commits to refraining from legal action against security researchers who comply with all Kraken Bug Bounty policies. Submissions to the initiative undergo evaluation by Kraken, with payouts determined by the severity of the bug and issued in BTC. In 2023, the program has acknowledged 22 reports out of a total of 461 submissions. The post Crypto Exchange Kraken Blackmailed After Bug Bounty Report, $3M Withdrawn From Treasury Assets appeared first on Metaverse Post.

Nick Percoco, Chief Security Officer der Kryptowährungsbörse Kraken, teilte einen Beitrag auf der Social-Media-Plattform X mit, in dem er darüber informierte, dass am 9. Juni ein Bug-Bounty-Programmalarm von einem Sicherheitsforscher eingegangen sei. Der per E-Mail erhaltene Alarm enthielt keine spezifischen Details, erwähnte jedoch die Entdeckung einer „extrem kritischen“ Sicherheitslücke, die möglicherweise den Kontostand der Plattform künstlich aufblähen könnte.
Kraken hat eine Schwachstelle identifiziert und behoben, die es einem böswilligen Akteur ermöglichen könnte, Geld auf sein Konto zu erhalten, ohne den gesamten Einzahlungsprozess abzuschließen. Das Problem resultierte aus einem kürzlich durchgeführten Update der Benutzererfahrung (UX), das es ermöglichte, Kundenkonten gutzuschreiben, bevor ihre Vermögenswerte vollständig freigegeben waren, was den Echtzeithandel auf den Kryptowährungsmärkten ermöglichte. Diese spezielle UX-Änderung wurde nicht ausreichend gegen solche potenziellen Angriffsvektoren getestet.
Darüber hinaus wurde festgestellt, dass drei Konten diese Sicherheitslücke innerhalb kurzer Zeit ausgenutzt hatten. Nach einer gründlichen Untersuchung wurde festgestellt, dass eines dieser Konten dem Sicherheitsforscher gehörte, der den Fehler im System ursprünglich entdeckt und gemeldet hatte.
Der „Sicherheitsforscher“ teilte später zwei Mitarbeitern Einzelheiten zu diesem Fehler mit. Zusammen gelang es diesen drei Konten, fast 3 Millionen Dollar von Krakens Konten abzuheben, und zwar aus Krakens Kassen und nicht aus Kundenvermögen. Nachdem Kraken die Sicherheitsforscher kontaktiert hatte, um sie für das Entdecken einer Sicherheitslücke im Rahmen ihres Bug-Bounty-Programms zu belohnen, weigerten sich die Forscher, irgendwelche Gelder zurückzuzahlen, bis die Börse die möglichen finanziellen Auswirkungen des Fehlers abgeschätzt hatte, wenn er nicht gemeldet worden wäre.
Nick Percoco betonte, dass der Vorfall eher als Erpressung denn als legitime White-Hat-Hacking-Aktivität wahrgenommen wurde, obwohl er den Namen des beteiligten Forschungsunternehmens nicht preisgab. Er merkte weiter an, dass Kraken einen solchen Vorfall als kriminelle Angelegenheit betrachtet und beabsichtigt, bei Bedarf mit den Strafverfolgungsbehörden zusammenzuarbeiten.
Um es klar zu sagen: Die Vermögenswerte eines Kunden waren nie gefährdet. Ein böswilliger Angreifer könnte jedoch für einen gewissen Zeitraum effektiv Vermögenswerte auf seinem Kraken-Konto drucken.
– Nick Percoco (@c7five), 19. Juni 2024
Kraken Bug-Bounty-Programm schützt Kryptowährungsnutzer und bestätigt 22 Berichte im Jahr 2023
Kraken ermöglicht den Handel von Kryptowährungen gegen Fiat-Währungen. Darüber hinaus bietet es Dienstleistungen für den Handel mit Kryptowährungsderivaten und Futures an. Laut Angaben von CoinMarketCap belegt Kraken mit einem durchschnittlichen täglichen Handelsvolumen von rund 741 Millionen US-Dollar den sechsten Platz unter den globalen Kryptowährungsbörsen.
Das Bug-Bounty-Programm unterstützt Krakens Mission, Benutzer auf dem Kryptowährungsmarkt zu schützen. Kraken verpflichtet sich, keine rechtlichen Schritte gegen Sicherheitsforscher einzuleiten, die alle Kraken Bug-Bounty-Richtlinien einhalten. Einreichungen für die Initiative werden von Kraken bewertet, wobei die Auszahlungen je nach Schwere des Fehlers in BTC erfolgen. Im Jahr 2023 hat das Programm 22 Berichte von insgesamt 461 Einreichungen bestätigt.
Der Beitrag „Kryptobörse Kraken nach Bug-Bounty-Bericht erpresst, 3 Mio. US-Dollar aus Treasury-Vermögen abgezogen“ erschien zuerst auf Metaverse Post.

Weitere Inhalte des Erstellers entdecken

Aktuelle Nachrichten