Crypto Exchange Kraken Loses $3 Million to Exploited Security Flaw

Coinpedia · 2024-06-20T06:13:03.000Z

The post Crypto Exchange Kraken Loses $3 Million to Exploited Security Flaw appeared first on Coinpedia Fintech News The world’s leading crypto trading platform, Kraken has recently admitted it fell victim to an attack that successfully leveraged a zero-day vulnerability to steal crypto worth millions. The exploit unveiled Kraken got an email from its Bug Bounty researcher on 9th June 2024, which alerted it about a serious vulnerability in the network. The flaw enabled an attacker to manipulate balance sheet figures on the site to a level not supported by actual funds as has been explained by Kraken’s Chief Security Officer, Nick Percoco. This critical vulnerability allowed the attacker to make deposits and withdraw money in their account while yet to complete the deposit process. Swift Response but not swift enough Kraken was able to respond to the alert and eliminate the security problem within 47 minutes. The problem was traced to a new user interface introduced some time back that allowed customers to make deposits and utilize the money before the deposits were identified by the clearing house, if ever. While Kraken stated that no clients’ cash was lost during the infiltration, the bug made it possible for people with ill intentions to deposit and withdraw fake cash. In this case, three accounts began trying the identical move inside of a week and all of them tried to transfer $3 million out of the exchange. Of these, one account was owned by the security researcher who recently reported this bug. As for the first identified vulnerability, Percoco commented that a person who aimed to exploit it invested $4 in crypto to illustrate the issue and it could be enough for a bug bounty report and subsequent reward. However, the researcher decided to give the bug details to two other participants, collectively, who were able to steal nearly $3 million from Kraken’s treasuries. Ethical dilemma or extortion? When Kraken approached the individuals to return the stolen funds and provide a proof-of-concept (PoC) exploit, the researchers demanded payment in exchange for the return of the assets. Percoco condemned this behaviour as extortion, emphasizing that it violated the ethical principles of white-hat hacking. Kraken is treating the incident as a criminal case and is coordinating with law enforcement agencies Also Read : SHOCKING: Crypto “Pig Butchering” Scams on the Rise! What You Should Know

La publicación Kraken de Crypto Exchange pierde $ 3 millones debido a una falla de seguridad explotada apareció por primera vez en Coinpedia Fintech News
Kraken, la plataforma de comercio de cifrado líder en el mundo, admitió recientemente que fue víctima de un ataque que aprovechó con éxito una vulnerabilidad de día cero para robar criptomonedas por valor de millones.
La hazaña revelada
Kraken recibió un correo electrónico de su investigador de Bug Bounty el 9 de junio de 2024, que le alertaba sobre una grave vulnerabilidad en la red. La falla permitió a un atacante manipular las cifras del balance en el sitio a un nivel que no estaba respaldado por fondos reales, como explicó el director de seguridad de Kraken, Nick Percoco. 
Esta vulnerabilidad crítica permitió al atacante realizar depósitos y retirar dinero de su cuenta mientras aún no completaba el proceso de depósito.
Respuesta rápida pero no lo suficientemente rápida
Kraken pudo responder a la alerta y eliminar el problema de seguridad en 47 minutos. El problema se debió a una nueva interfaz de usuario introducida hace algún tiempo que permitía a los clientes realizar depósitos y utilizar el dinero antes de que la cámara de compensación identificara los depósitos, si es que alguna vez lo hacían. 
Si bien Kraken afirmó que no se perdió el efectivo de ningún cliente durante la infiltración, el error hizo posible que personas con malas intenciones depositaran y retiraran efectivo falso.
En este caso, tres cuentas comenzaron a intentar el mismo movimiento en una semana y todas intentaron transferir $3 millones fuera del intercambio. De ellas, una cuenta era propiedad del investigador de seguridad que recientemente informó sobre este error.
En cuanto a la primera vulnerabilidad identificada, Percoco comentó que una persona que pretendía explotarla invirtió $4 en criptomonedas para ilustrar el problema y podría ser suficiente para un informe de recompensa por errores y una recompensa posterior. Sin embargo, el investigador decidió dar detalles del error a otros dos participantes, quienes en conjunto pudieron robar casi $3 millones de dólares de las tesorerías de Kraken.
¿Dilema ético o extorsión?
Cuando Kraken se acercó a las personas para devolver los fondos robados y proporcionarles un exploit de prueba de concepto (PoC), los investigadores exigieron un pago a cambio de la devolución de los activos. Percoco condenó este comportamiento como extorsión y enfatizó que violaba los principios éticos del hacking de sombrero blanco.
Kraken está tratando el incidente como un caso penal y está coordinando con las fuerzas del orden.
Lea también: IMPACTANTE: ¡Aumentan las estafas criptográficas de “carnicería de cerdos”! Lo que deberías saber

Descubre más contenidos del creador

Últimas noticias

Descubre más contenidos del creador

Últimas noticias

Artículos en tendencia