Kraken rivela che un bug ha consentito a "ricercatori di sicurezza" disonesti di sfruttare 3 milioni di dollari

L'exchange statunitense Kraken ha perso quasi 3 milioni di dollari nelle sue casse dopo che una società di sicurezza anonima ha sfruttato un bug sulla sua piattaforma. Lo ha rivelato il responsabile della sicurezza, Nick Percoco, in un post su X, affermando che la società di sicurezza si è rifiutata di restituire i fondi e ora chiede un compenso più alto come taglia.

Leggi anche: Crypto Exchange DMM Bitcoin promette di ripagare gli utenti dopo un hack da 300 milioni di dollari

In risposta, Kraken ha inoltrato la questione alle forze dell'ordine e la tratterà come un crimine. Tuttavia, gli utenti non devono preoccuparsi, poiché l’exchange afferma di aver già risolto la vulnerabilità e che nessun account utente è stato interessato.

Il bug Kraken consente la stampa di denaro

Secondo Percoco, il 9 giugno un ricercatore di sicurezza ha avvisato Kraken di un bug critico tramite il suo programma Bug Bounty. Dopo indagini interne, il team di sicurezza dell'exchange ha scoperto una vulnerabilità che potrebbe consentire a un malintenzionato di avviare un deposito sul proprio conto Kraken e ricevere il fondi senza completare il deposito. Un utente malintenzionato potrebbe stampare milioni dal nulla attraverso questo exploit.

Lui ha spiegato:

“Abbiamo scoperto un bug isolato. Ciò ha consentito a un utente malintenzionato, nelle giuste circostanze, di avviare un deposito sulla nostra piattaforma e ricevere fondi sul proprio conto senza completare completamente il deposito."

Il team di sicurezza interno ha mitigato il problema entro 47 minuti e lo ha risolto completamente dopo poche ore. Tuttavia, l'azienda ha scoperto che il bug era il risultato di un recente cambiamento nella sua UX che consentiva l'accredito sui conti dei clienti prima che i loro beni venissero liquidati. Sebbene la modifica sia stata integrata per consentire il trading istantaneo, non è stata completamente testata contro questo tipo di rischio.

Tuttavia, Percoco ha aggiunto che l’incidente non ha influenzato le risorse degli utenti e che gli exploit della vulnerabilità hanno interessato solo la tesoreria Kraken.

I ricercatori di sicurezza sono criminali

Nel frattempo, un'analisi della vulnerabilità ha rilevato che tre account sfruttavano la falla e uno di questi account era registrato con il nome del ricercatore di sicurezza che inizialmente aveva contattato l'exchange.

Leggi anche: Kraken considera la rimozione dell'USDT dalla quotazione in risposta ai nuovi regolamenti UE

Mentre l’account del ricercatore ha utilizzato la falla solo per accreditarsi 4 dollari, sufficienti a dimostrare che il bug era reale, gli altri due account hanno prelevato quasi 3 milioni di dollari dai loro account Kraken utilizzando lo stesso exploit. È interessante notare che questi account erano associati a soci del ricercatore di sicurezza.

Kraken ha spiegato che i suoi tentativi di ottenere la restituzione dei fondi sono stati inutili poiché i ricercatori stanno ora chiedendo un pagamento più elevato che ritengono commisurato al rischio del bug.

Percoco lo ha descritto come un atto di estorsione, che contraddice il principio alla base del programma Bug Bounty. Ha aggiunto che la violazione di quelle regole che danno agli hacker white hat la licenza per hackerare rende i ricercatori di sicurezza criminali, e l'exchange li tratta come tali.