Kraken, un exchange di criptovalute, ha recentemente segnalato il furto di quasi 3 milioni di dollari dai suoi conti a causa di un bug critico. Il problema, derivante da una falla introdotta in un recente aggiornamento dell’esperienza utente, ha consentito agli aggressori di accreditare i propri conti prima che i depositi fossero completamente liquidati.

Scoperta dell'insetto

Questa vulnerabilità è stata etichettata come tale da consentire agli utenti malintenzionati di "stampare risorse" per un periodo temporaneo. La violazione della sicurezza è stata contenuta entro poche ore dalla sua scoperta, come affermato dal Chief Security Officer di Kraken, Nick Percoco.

Il bug è stato segnalato per la prima volta all'attenzione di Kraken tramite il suo programma bug bounty il 9 giugno. Sebbene il rapporto iniziale non contenesse informazioni dettagliate, ha spinto Kraken a effettuare un'indagine immediata.

Questa indagine ha scoperto un incidente isolato in cui una parte malintenzionata poteva avviare un deposito incompleto per ricevere fondi fraudolentemente. Percoco ha chiarito che la vulnerabilità si è verificata in condizioni specifiche e non ha messo direttamente a rischio i beni dei clienti.

Kraken rivela di essere stato sfruttato su X

Successive indagini sull'integrità del sistema hanno rivelato che la vulnerabilità era stata sfruttata da tre account separati poco prima che il bug fosse ufficialmente segnalato. Questi account sono riusciti a sottrarre somme sostanziali in una serie di transazioni che, per coincidenza, hanno avuto luogo nell'arco di diversi giorni.

Percoco ha rivelato che l'individuo che ha segnalato il bug aveva originariamente testato la falla accreditando sul proprio account 4 $, presumibilmente per dimostrare l'esistenza del bug e assicurarsi una ricompensa tramite il programma bug bounty.

Tuttavia, in seguito è emerso che questo individuo aveva condiviso i dettagli della vulnerabilità con due associati invece di mantenerli riservati. Questi collaboratori hanno quindi prelevato quasi 3 milioni di dollari in totale da Kraken, direttamente dalle riserve dell'azienda.

Percoco ha sottolineato che questi fondi non provenivano da altri conti clienti. In risposta a questo incidente, Kraken ha preteso un resoconto completo delle loro attività e la restituzione dei fondi rubati.

Tuttavia, le parti accusate hanno trattenuto i fondi, chiedendo a Kraken di rivelare prima la potenziale portata dell'operazione se fosse rimasta segreta.

La risposta del Kraken e le azioni legali

La situazione è degenerata quando i ricercatori hanno etichettato le richieste di restituzione dei fondi da parte di Kraken come “irragionevoli” e “non professionali”.

Di conseguenza, Kraken ha scelto di non identificare pubblicamente la società di ricerca coinvolta, citando la violazione dei termini del programma bug bounty e definendo le sue azioni non solo immorali ma anche criminali.

La borsa si sta ora coordinando con le forze dell'ordine per affrontare la questione come un caso penale, respingendo qualsiasi riconoscimento dell'azienda coinvolta a causa delle sue azioni.

Questo sfortunato evento accaduto a Kraken si aggiunge al panorama più ampio delle vulnerabilità delle risorse digitali, con un aumento degli attacchi informatici alle criptovalute previsto per il 2024.

Ripartizione delle perdite in criptovalute per vulnerabilità

Secondo il “2024 Crypto HackHub Report” di Merkle Science, solo nel primo trimestre del 2024 gli hacker hanno rubato asset digitali per un valore di 542,7 milioni di dollari, segnando un aumento del 42% rispetto allo stesso periodo del 2023.

Il settore ha notato un cambiamento nella natura di queste violazioni della sicurezza, con le perdite di chiavi private che ora superano gli exploit degli smart contract come causa principale. Questa tendenza contrasta nettamente con gli anni precedenti, in cui le vulnerabilità negli smart contract erano più dominanti.

Il rapporto ha inoltre evidenziato una significativa diminuzione delle perdite dovute alle vulnerabilità degli smart contract, che sono scese del 92% a 179 milioni di dollari nel 2023, rispetto ai 2,6 miliardi di dollari del 2022. Nonostante ciò, oltre il 55% degli asset digitali hackerati nel 2023 è stato attribuito a perdite di chiavi private, sottolineando una persistente sfida alla sicurezza nel settore delle criptovalute.

Negli ultimi 13 anni, il settore ha dovuto far fronte a 785 segnalazioni di attacchi informatici e exploit, con perdite pari a quasi 19 miliardi di dollari, il che indica la necessità critica di migliorare le misure di sicurezza a tutti i livelli.

Il post Gli hacker sfruttano il bug del Kraken e rubano quasi 3 milioni di dollari è apparso per la prima volta su Coinfomania.