Sàn giao dịch tiền điện tử Kraken mất 3 triệu USD do lỗ hổng bảo mật bị khai thác

Coinpedia · 2024-06-20T06:13:03.000Z

Bài viết Sàn giao dịch tiền điện tử Kraken mất 3 triệu USD do lỗ hổng bảo mật bị khai thác xuất hiện đầu tiên trên Coinpedia Fintech News Nền tảng giao dịch tiền điện tử hàng đầu thế giới, Kraken gần đây đã thừa nhận họ trở thành nạn nhân của một cuộc tấn công đã tận dụng thành công lỗ hổng zero-day để đánh cắp tiền điện tử trị giá hàng triệu USD. Khai thác được tiết lộ Kraken đã nhận được email từ nhà nghiên cứu Bug Bounty vào ngày 9 tháng 6 năm 2024, trong đó cảnh báo về một lỗ hổng nghiêm trọng trong mạng. Lỗ hổng này cho phép kẻ tấn công thao túng các số liệu trong bảng cân đối kế toán trên trang web đến mức không được hỗ trợ bởi nguồn vốn thực tế như Giám đốc An ninh của Kraken, Nick Percoco đã giải thích.

Il post L'exchange di criptovalute Kraken perde 3 milioni di dollari a causa di una falla di sicurezza sfruttata è apparso per la prima volta su Coinpedia Fintech News
Kraken, la piattaforma di trading di criptovalute leader a livello mondiale, ha recentemente ammesso di essere stata vittima di un attacco che ha sfruttato con successo una vulnerabilità zero-day per rubare criptovalute del valore di milioni.
Svelato l'exploit
Kraken ha ricevuto un'e-mail dal suo ricercatore Bug Bounty il 9 giugno 2024, che lo avvisava di una grave vulnerabilità nella rete. La falla ha consentito a un utente malintenzionato di manipolare i dati patrimoniali del sito a un livello non supportato da fondi effettivi, come spiegato dal Chief Security Officer di Kraken, Nick Percoco. 
Questa vulnerabilità critica ha consentito all’aggressore di effettuare depositi e prelevare denaro dal proprio conto senza ancora completare il processo di deposito.
Risposta rapida ma non abbastanza rapida
Kraken è stata in grado di rispondere all'allarme ed eliminare il problema di sicurezza entro 47 minuti. Il problema è stato ricondotto a una nuova interfaccia utente introdotta qualche tempo fa che consentiva ai clienti di effettuare depositi e utilizzare il denaro prima che i depositi venissero identificati dalla stanza di compensazione, se mai. 
Sebbene Kraken abbia affermato che durante l'infiltrazione non è stato perso il contante dei clienti, il bug ha consentito alle persone malintenzionate di depositare e prelevare denaro falso.
In questo caso, tre account hanno iniziato a provare la stessa mossa nel giro di una settimana e tutti hanno provato a trasferire 3 milioni di dollari dall’exchange. Di questi, un account era di proprietà del ricercatore di sicurezza che ha recentemente segnalato questo bug.
Per quanto riguarda la prima vulnerabilità identificata, Percoco ha commentato che una persona che intendeva sfruttarla ha investito 4 dollari in criptovalute per illustrare il problema e potrebbero essere sufficienti per una segnalazione di bug bounty e la successiva ricompensa. Tuttavia, il ricercatore ha deciso di fornire i dettagli del bug ad altri due partecipanti, collettivamente, che sono riusciti a rubare quasi 3 milioni di dollari dalle casse di Kraken.
Dilemma etico o estorsione?
Quando Kraken si è rivolto alle persone per restituire i fondi rubati e fornire un exploit Proof-of-Concept (PoC), i ricercatori hanno chiesto il pagamento in cambio della restituzione dei beni. Percoco ha condannato questo comportamento come estorsione, sottolineando che violava i principi etici dell'hacking white-hat.
Kraken sta trattando l'incidente come un procedimento penale e si sta coordinando con le forze dell'ordine
Leggi anche: SCIOCCANTE: le truffe legate alla “macellazione di maiali” legate alle criptovalute sono in aumento! Cosa dovresti sapere

L'exchange di criptovalute Kraken perde 3 milioni di dollari a causa dello sfruttamento di una falla di sicurezza

Scopri di più dal Creator

Ultime notizie