Gli hacker sfruttano il bug Kraken e rubano quasi 3 milioni di dollari

Coinfomania · 2024-06-19T17:03:03.000Z

Kraken, un exchange di criptovalute, ha recentemente segnalato il furto di quasi 3 milioni di dollari dai suoi conti a causa di un bug critico. Il problema, derivante da una falla introdotta in un recente aggiornamento dell’esperienza utente, ha consentito agli aggressori di accreditare i propri conti prima che i depositi fossero completamente liquidati. Scoperta dell'insetto Questa vulnerabilità è stata etichettata come tale da consentire agli utenti malintenzionati di "stampare risorse" per un periodo temporaneo. La violazione della sicurezza è stata contenuta entro poche ore dalla sua scoperta, come affermato dal Chief Security Officer di Kraken, Nick Percoco.

Kraken, un échange de crypto-monnaie, a récemment signalé le vol de près de 3 millions de dollars sur ses comptes en raison d'un bug critique. Le problème, résultant d'une faille introduite dans une récente mise à jour de l'expérience utilisateur, permettait aux attaquants de créditer leurs comptes avant que leurs dépôts ne soient entièrement effacés.
Découverte du bug
Cette vulnérabilité a été qualifiée de permettant à des utilisateurs malveillants d’« imprimer des actifs » pendant une période temporaire. La faille de sécurité a été maîtrisée quelques heures après sa découverte, comme l’a déclaré le chef de la sécurité de Kraken, Nick Percoco.
Le bug a été signalé pour la première fois à Kraken via son programme de primes aux bugs le 9 juin. Bien que le rapport initial manquait d'informations détaillées, il a incité Kraken à mener une enquête immédiate.
Cette enquête a permis de découvrir un incident isolé dans lequel une partie malveillante a pu initier un dépôt incomplet pour recevoir frauduleusement des fonds. Percoco a précisé que la vulnérabilité s'est produite dans des conditions spécifiques et n'a pas mis directement en danger les actifs des clients.
Kraken révèle qu'il a été exploité sur X
Des enquêtes ultérieures sur l’intégrité du système ont révélé que la vulnérabilité avait été exploitée par trois comptes distincts peu avant que le bug ne soit officiellement signalé. Ces comptes ont réussi à détourner des sommes importantes au cours d’une série de transactions qui se sont déroulées par coïncidence sur plusieurs jours.
Percoco a révélé que la personne qui a signalé le bug avait initialement testé la faille en créditant son propre compte de 4 $, soi-disant pour démontrer l'existence du bug et obtenir une récompense via le programme de primes aux bugs.
Il s’est avéré plus tard que cet individu avait partagé les détails de la vulnérabilité avec deux associés au lieu de les garder confidentiels. Ces collaborateurs ont ensuite retiré près de 3 millions de dollars au total de Kraken, directement des réserves de l’entreprise.
Percoco a souligné que ces fonds ne provenaient pas d'autres comptes clients. En réponse à cet incident, Kraken a exigé un compte rendu complet de leurs activités et la restitution des fonds volés.
Les parties accusées ont cependant retenu les fonds, exigeant que Kraken révèle d'abord l'étendue potentielle de l'exploit s'il n'avait pas été divulgué.
Réponse et actions en justice de Kraken
La situation s’est aggravée lorsque les chercheurs ont qualifié les demandes de restitution des fonds de Kraken de « déraisonnables » et « non professionnelles ».
En conséquence, Kraken a choisi de ne pas identifier publiquement le cabinet de recherche impliqué, invoquant la violation des conditions du programme de chasse aux bugs et qualifiant leurs actions non seulement de contraires à l'éthique mais aussi de criminelles.
La bourse se coordonne désormais avec les forces de l'ordre pour traiter l'affaire comme une affaire pénale, rejetant toute reconnaissance de l'entreprise impliquée en raison de ses actions.
Cet événement malheureux survenu chez Kraken s'ajoute au paysage plus large des vulnérabilités des actifs numériques, les piratages de crypto-monnaies étant appelés à augmenter en 2024.
Répartition des pertes cryptographiques par vulnérabilité
Selon le « 2024 Crypto HackHub Report » de Merkle Science, au cours du seul premier trimestre 2024, des pirates informatiques ont volé des actifs numériques d'une valeur de 542,7 millions de dollars, soit une augmentation de 42 % par rapport à la même période en 2023.
Le secteur a constaté un changement dans la nature de ces failles de sécurité, les fuites de clés privées devenant désormais la principale cause de ces failles, dépassant ainsi les failles de sécurité des contrats intelligents. Cette tendance contraste fortement avec les années précédentes, où les vulnérabilités des contrats intelligents étaient plus prédominantes.
Le rapport a également souligné une diminution significative des pertes dues aux vulnérabilités des contrats intelligents, qui ont chuté de 92 % à 179 millions de dollars en 2023, contre 2,6 milliards de dollars en 2022. Malgré cela, plus de 55 % des actifs numériques piratés en 2023 ont été attribués à des fuites de clés privées, soulignant un défi de sécurité persistant au sein du secteur des crypto-monnaies.
Au cours des 13 dernières années, l'industrie a été confrontée à 785 piratages et exploits signalés, entraînant une perte de près de 19 milliards de dollars, ce qui indique un besoin critique d'amélioration des mesures de sécurité à tous les niveaux.
L'article Des pirates informatiques exploitent le bug de Kraken et volent près de 3 millions de dollars est apparu en premier sur Coinfomania.

Découvrez-en plus sur le créateur

Dernières actualités