Kraken, uno dei principali scambi di criptovalute a livello mondiale, ha recentemente affrontato una significativa sfida alla sicurezza. La piattaforma è stata allertata da un ricercatore di sicurezza riguardo a una vulnerabilità critica che avrebbe potuto consentire la creazione non autorizzata di risorse digitali. Questo incidente sottolinea le continue sfide affrontate dalle piattaforme di asset digitali nel mantenere solide misure di sicurezza.
Dopo aver ricevuto la segnalazione, il team di sicurezza di Kraken ha rapidamente indagato sulla questione, distinguendola dai comuni falsi allarmi. Il bug identificato era particolarmente grave: consentiva agli utenti di registrare depositi e ricevere crediti corrispondenti sui propri conti senza l'effettivo trasferimento di fondi.
Questo difetto, originato da un recente aggiornamento dell'esperienza utente che ha accreditato prematuramente gli account degli utenti prima della conferma del deposito, poneva un ipotetico rischio di "stampare" risorse digitali dal nulla.
Implicazioni e azioni intraprese
Dall'indagine è emerso che solo tre account hanno sfruttato il bug, compreso quello dell'informatore. Sebbene il ricercatore abbia dimostrato l’exploit creando una quantità nominale di criptovaluta, non è riuscito a segnalarlo ufficialmente tramite il programma Bug Bounty di Kraken.
Invece, hanno rivelato il metodo ad altre due parti che hanno poi sfruttato la vulnerabilità per estrarre milioni in criptovaluta, culminando in prelievi non autorizzati per un totale di circa 3 milioni di dollari.
Nick Percoco, responsabile della sicurezza di Kraken, ha notato la difficoltà nel gestire la situazione data il rapporto iniziale incompleto in cui mancavano dettagli cruciali della transazione.
Aggiornamento sulla sicurezza Kraken: il 9 giugno 2024, abbiamo ricevuto un avviso del programma Bug Bounty da un ricercatore di sicurezza. Inizialmente non sono stati divulgati dettagli, ma la loro email affermava di aver trovato un bug "estremamente critico" che permetteva loro di gonfiare artificialmente il loro saldo sulla nostra piattaforma.
— Nick Percoco (@c7five) 19 giugno 2024
Il dialogo con i ricercatori si è interrotto poiché hanno chiesto un riscatto anziché la restituzione dei fondi, proponendo un risarcimento basato sul potenziale danno finanziario che il virus avrebbe potuto causare.
Kraken, etichettando queste richieste come estorsioni, ha rifiutato di nominare pubblicamente la società di sicurezza coinvolta e sta perseguendo azioni legali, trattando la questione come un procedimento penale. L'azienda ha rassicurato gli utenti che nessun patrimonio del cliente è stato compromesso in nessun momento.