Il responsabile della sicurezza di Kraken ha rivelato che un bug nel sistema di finanziamento dell'exchange ha portato a una perdita di 3 milioni di dollari dopo essere stato sfruttato da ricercatori di sicurezza disonesti.
L'exchange di criptovalute americano Kraken ha perso circa 3 milioni di dollari in criptovalute all'inizio di giugno dopo che un "ricercatore di sicurezza" disonesto ha sfruttato un bug nel sistema di finanziamento dell'exchange. Il responsabile della sicurezza di Kraken, Nick Percoco, ha rivelato l’incidente in un thread X, sottolineando la violazione degli standard etici da parte delle persone coinvolte.
Ogni giorno riceviamo false segnalazioni di bug bounty da parte di persone che affermano di essere "ricercatori di sicurezza". Questa non è una novità per chiunque esegua un programma di ricompensa dei bug. Tuttavia, abbiamo trattato la questione seriamente e abbiamo rapidamente riunito un team interfunzionale per approfondire il problema. Ecco cosa abbiamo trovato.
— Nick Percoco (@c7five) 19 giugno 2024
Secondo Percoco, il team ha ricevuto per la prima volta una notifica da un "ricercatore di sicurezza" su un potenziale bug il 9 giugno. Successivamente, il team ha trovato un "difetto derivante da un recente cambiamento della UX" che avrebbe consentito di accreditare i conti dei clienti prima dei loro beni. cancellato, consentendo ai clienti di negoziare efficacemente i mercati delle criptovalute in tempo reale. Il CSO di Kraken ha ammesso che l'exchange non ha testato la modifica UX rispetto a quello specifico vettore di attacco prima dell'attacco.
"Questa modifica alla UX non è stata testata a fondo contro questo specifico vettore di attacco", ha scritto Percoco.
Potrebbe piacerti anche: Kraken chiede nuovamente di archiviare la causa della SEC, citando una formulazione errata
Dopo aver corretto la vulnerabilità, Kraken ha scoperto che tre account avevano precedentemente sfruttato lo stesso difetto a pochi giorni di distanza l'uno dall'altro. Invece di segnalare direttamente il bug, il ricercatore di sicurezza avrebbe condiviso le informazioni con due soci, ha detto Percoco, aggiungendo che gli individui sconosciuti alla fine hanno ritirato quasi 3 milioni di dollari dalle casse di Kraken.
Percoco ha sottolineato che il rapporto iniziale del "ricercatore sulla sicurezza" non ha rivelato completamente il bug, quindi il team ha dovuto riconfermare alcuni dettagli per procedere con la ricompensa per aver identificato con successo una falla di sicurezza.
Kraken ha richiesto un resoconto completo delle proprie attività, una prova di concetto e la restituzione dei fondi prelevati. Tuttavia, gli individui si sono rifiutati di obbedire, cosa che Percoco ha descritto come “non white-hat hacking” ma piuttosto “estorsione”. Non è chiaro se Kraken abbia identificato tutti gli aggressori o sia riuscito a recuperare i fondi rubati.
Per saperne di più: L'exchange di criptovalute Kraken punta a un rilancio pre-IPO di 100 milioni di dollari