Kraken’s Quick Fix: How a Critical Bug Nearly Led to Free Money Printing on the Exchange

BlockchainReporter · 2024-06-19T18:13:03.000Z

Kraken, a leading global cryptocurrency exchange, recently navigated a significant security challenge. The platform was alerted by a security researcher about a critical vulnerability that could have allowed unauthorized creation of digital assets. This incident underscores the ongoing challenges faced by digital asset platforms in maintaining robust security measures. Upon receiving the tip-off, Kraken’s security team swiftly investigated the matter, distinguishing it from the commonplace false alarms. The bug identified was particularly severe—it enabled users to register deposits and receive corresponding credits to their accounts without the actual transfer of funds. This flaw, originating from a recent user experience update that prematurely credited user accounts before confirmation of deposit, posed a hypothetical risk of “printing” digital assets out of thin air. Implications and Actions Taken The investigation revealed that only three accounts exploited the bug, including the one belonging to the whistleblower. While the researcher demonstrated the exploit by creating a nominal amount of cryptocurrency, they failed to officially report this through Kraken’s Bug Bounty program. Instead, they disclosed the method to two other parties who then exploited the vulnerability to extract millions in cryptocurrency, culminating in unauthorized withdrawals totaling approximately $3 million. Nick Percoco, Kraken’s chief security officer, noted the challenge in handling the situation given the incomplete initial report which lacked crucial transaction details. Kraken Security Update:On June 9 2024, we received a Bug Bounty program alert from a security researcher. No specifics were initially disclosed, but their email claimed to find an “extremely critical” bug that allowed them to artificially inflate their balance on our platform. — Nick Percoco (@c7five) June 19, 2024 The dialogue with the researchers stalled as they demanded a ransom rather than return the funds, proposing a payout based on the potential financial damage the bug could have inflicted. Kraken, labeling these demands as extortion, has declined to publicly name the security firm involved and is pursuing legal actions, treating the issue as a criminal case. The company reassured users that no client assets were compromised at any point.

Kraken, l'un des principaux échanges mondiaux de crypto-monnaie, a récemment fait face à un défi de sécurité important. La plateforme a été alertée par un chercheur en sécurité d'une vulnérabilité critique qui aurait pu permettre la création non autorisée d'actifs numériques. Cet incident souligne les défis constants auxquels sont confrontées les plateformes d’actifs numériques pour maintenir des mesures de sécurité robustes.
Dès réception de l’information, l’équipe de sécurité de Kraken a rapidement enquêté sur l’affaire, la distinguant des fausses alarmes courantes. Le bug identifié était particulièrement grave : il permettait aux utilisateurs d'enregistrer des dépôts et de recevoir les crédits correspondants sur leurs comptes sans transfert réel de fonds. 
Cette faille, issue d’une récente mise à jour de l’expérience utilisateur qui créditait prématurément les comptes d’utilisateurs avant la confirmation du dépôt, posait un risque hypothétique d’« impression » d’actifs numériques à partir de rien.
Implications et mesures prises
L’enquête a révélé que seuls trois comptes exploitaient le bug, dont celui appartenant au lanceur d’alerte. Bien que le chercheur ait démontré l’exploit en créant une quantité nominale de crypto-monnaie, il n’a pas réussi à le signaler officiellement via le programme Bug Bounty de Kraken. 
Au lieu de cela, ils ont divulgué la méthode à deux autres parties qui ont ensuite exploité la vulnérabilité pour extraire des millions de dollars en cryptomonnaie, aboutissant à des retraits non autorisés totalisant environ 3 millions de dollars.
Nick Percoco, responsable de la sécurité de Kraken, a souligné la difficulté de gérer la situation étant donné le rapport initial incomplet qui manquait de détails cruciaux sur la transaction. 
Mise à jour de sécurité Kraken : le 9 juin 2024, nous avons reçu une alerte du programme Bug Bounty d'un chercheur en sécurité. Aucun détail n'a été initialement divulgué, mais leur e-mail prétendait trouver un bug « extrêmement critique » qui leur permettait de gonfler artificiellement leur solde sur notre plateforme.
– Nick Percoco (@c7five) 19 juin 2024
Le dialogue avec les chercheurs s'est arrêté car ils ont exigé une rançon plutôt que de restituer les fonds, proposant un paiement basé sur les dommages financiers potentiels que le bug aurait pu infliger. 
Kraken, qualifiant ces demandes d'extorsion, a refusé de nommer publiquement la société de sécurité impliquée et engage des poursuites judiciaires, traitant l'affaire comme une affaire pénale. La société a rassuré les utilisateurs sur le fait qu’aucun actif client n’avait été compromis à aucun moment. 

La solution rapide de Kraken : comment un bug critique a presque conduit à l'impression d'argent gratuite sur l'échange

Découvrez-en plus sur le créateur

Dernières actualités