Introito veloce:
Il responsabile della sicurezza di Kraken, Nick Percoco, ha dichiarato mercoledì che dai suoi portafogli sono stati prelevati 3 milioni di dollari.
Il bug consentiva a chiunque di avviare un deposito sulla piattaforma e di ricevere i fondi senza completarlo.
Percoco ha affermato che tre persone legate a una società sconosciuta si sono rifiutate di restituire i fondi finché Kraken non ha reso pubblica la potenziale dimensione dell'exploit.
CertiK e la società di scambio di criptovalute Kraken sono stati impegnati negli ultimi giorni in una disputa sul bug bounty, secondo il materiale informativo divulgato dalla società di sicurezza blockchain su X.
CertiK ha dichiarato il 5 giugno di aver riscontrato una vulnerabilità nel sistema di deposito di Kraken che consentiva prelievi di criptovalute fabbricate che potevano essere convertite in criptovalute valide.
La società di sicurezza crittografica ha depositato 200 Matic il 5 giugno prima di ritirarne 90.000 due giorni dopo. Ha poi effettuato un deposito significativamente più grande prima di prelevare un importo ancora maggiore il 9 giugno, ha affermato l'azienda tramite un post su X.
Fonte: Certik su X
Commentando il risultato del test su X, CertiK ha scritto: "L'exchange Kraken ha fallito tutti questi test, indicando che il sistema di difesa approfondito di Kraken è compromesso su più fronti. Milioni di dollari possono essere depositati su QUALSIASI conto Kraken.
"Un'enorme quantità di criptovalute fabbricate (del valore di oltre 1 milione di dollari) possono essere prelevate dal conto e convertite in criptovalute valide. Peggio ancora, non è stato attivato alcun avviso durante il periodo di test di più giorni. Kraken ha risposto e bloccato gli account di prova solo pochi giorni dopo aver segnalato ufficialmente l'incidente."
Nella sua risposta, il responsabile della sicurezza di Kraken, Nick Percoco, ha affermato che la sua azienda è stata in grado di “triage del bug” entro un’ora e 47 minuti, prima di risolvere completamente il problema entro poche ore.
Descrivendo le circostanze del bug, ha affermato: "Il nostro team ha riscontrato un difetto derivante da un recente cambiamento della UX che avrebbe prontamente accreditato i conti dei clienti prima che le loro risorse fossero liquidate, consentendo ai clienti di scambiare efficacemente i mercati delle criptovalute in tempo reale. Questa modifica alla UX non è stata testata a fondo rispetto a questo specifico vettore di attacco”.
Percoco ha affermato che ulteriori indagini hanno dimostrato che tre account avevano già sfruttato appieno il bug per accreditare sui propri conti 4 dollari in criptovalute, il che sarebbe stato sufficiente per presentare una segnalazione di bug bounty al team Kraken, guadagnandosi una considerevole ricompensa da parte dell'exchange di criptovalute. programma di ricompensa dei bug.
“Invece, il ‘ricercatore di sicurezza’ ha rivelato questo bug ad altre due persone con cui lavora che hanno generato in modo fraudolento somme molto più grandi. Alla fine hanno ritirato quasi 3 milioni di dollari dai loro conti Kraken. Questo proveniva dalle tesorerie di Kraken, non da altri beni dei clienti."
Dopo aver discusso per depositare la denuncia e poter restituire i fondi, i ricercatori hanno rifiutato, ha detto Percoco, bollando l'evento come una “estorsione”.
CertiK ha affermato che dopo le prime conversioni riuscite nell'identificazione e risoluzione della vulnerabilità, il team operativo di sicurezza di Kraken ha minacciato i singoli dipendenti di CertiK di rimborsare importi di criptovaluta non corrispondenti senza fornire loro tempi ragionevoli o indirizzi di rimborso.
Rimani aggiornato:
Iscriviti alla nostra newsletter utilizzando questo link: non riceveremo spam!
Seguici su X e Telegram.
Il post La società di sicurezza crittografica CertiK e Kraken nella controversia Bug Bounty nel mezzo di un drenaggio di 3 milioni di dollari è apparso per la prima volta su NFTgators.