Kraken Chief Security Reveals UX Change Resulted in $3m Bug Exploit

CryptoNews · 2024-06-19T14:13:02.000Z

Kraken’s chief security officer disclosed that a bug in the exchange’s funding system led to a $3 million loss after being exploited by rogue security researchers. American crypto exchange Kraken lost around $3 million worth of crypto in early June after a rogue “security researcher” exploited a bug in the exchange’s funding system. Kraken’s chief security officer Nick Percoco disclosed the incident in an X thread, emphasizing the breach of ethical standards by the individuals involved. Everyday we receive fake bug bounty reports from people claiming to be “security researchers”. This is not new to anyone who runs a bug bounty program. However, we treated this seriously and quickly assembled a cross functional team to dig into this issue. Here is what we found. — Nick Percoco (@c7five) June 19, 2024 As per Percoco, the team first received a notification from a “security researcher” about a potential bug on Jun. 9. Later on, the team found a “flaw deriving from a recent UX change” that would allow credit client accounts before their assets cleared, enabling clients to effectively trade crypto markets in real-time. The Kraken CSO admitted the exchange didn’t test the UX change against that specific attack vector prior to the attack. “This UX change was not thoroughly tested against this specific attack vector,” Percoco wrote. You might also like: Kraken again asks to dismiss SEC lawsuit, citing incorrect wording After patching the vulnerability, Kraken discovered that three accounts had earlier exploited the same flaw within a few days of each other. Instead of reporting the bug directly, the security researcher allegedly shared the information with two associates, Percoco said, adding that the unknown individuals ultimately withdrew nearly $3 million from Kraken’s treasuries. Percoco pointed out that the initial report from the “security researcher” didn’t fully disclose the bug, so the team had to re-confirm some details to progress with rewarding them for successfully identifying a security flaw. Kraken requested a full account of their activities, a proof of concept, and the return of the withdrawn funds. However, the individuals refused to comply, which Percoco described as “not white-hat hacking” but rather “extortion.” It remains unclear whether Kraken identified all the attackers or managed to recover the stolen funds. Read more: Crypto exchange Kraken eyes $100m pre-IPO raise

Krakena galvenais drošības speciālists atklāja, ka kļūda biržas finansēšanas sistēmā radīja zaudējumus 3 miljonu ASV dolāru apmērā pēc tam, kad to izmantoja negodīgi drošības pētnieki.
Amerikas kriptovalūtu birža Kraken jūnija sākumā zaudēja kriptovalūtu aptuveni 3 miljonu dolāru vērtībā pēc tam, kad negodīgs “drošības pētnieks” izmantoja kļūdu biržas finansēšanas sistēmā. Krakena galvenais drošības virsnieks Niks Perkoko atklāja incidentu X pavedienā, uzsverot, ka iesaistītās personas ir pārkāpušas ētikas standartus.
Ikdienā mēs saņemam viltotus kļūdu ziņojumus no cilvēkiem, kuri apgalvo, ka ir “drošības pētnieki”. Tas nav nekas jauns ikvienam, kurš vada kļūdu novēršanas programmu. Tomēr mēs pret to attiecāmies nopietni un ātri izveidojām dažādu funkcionālu komandu, lai izpētītu šo problēmu. Lūk, ko mēs atradām.
— Niks Perkoko (@c7five), 2024. gada 19. jūnijs
Saskaņā ar Percoco komanda pirmo reizi saņēma paziņojumu no "drošības pētnieka" par iespējamu kļūdu 9. jūnijā. Vēlāk komanda atklāja "nesen veiktu UX izmaiņu radītu trūkumu", kas ļautu kreditēt klientu kontus pirms viņu aktīviem. notīrīts, ļaujot klientiem efektīvi tirgoties kriptovalūtu tirgos reāllaikā. Kraken CSO atzina, ka birža pirms uzbrukuma nepārbaudīja UX izmaiņas pret šo konkrēto uzbrukuma vektoru.
"Šīs UX izmaiņas netika rūpīgi pārbaudītas pret šo konkrēto uzbrukuma vektoru," rakstīja Percoco.
Jums varētu patikt arī: Kraken atkal lūdz noraidīt SEC tiesas prāvu, atsaucoties uz nepareizu formulējumu
Pēc ievainojamības izlabošanas Kraken atklāja, ka trīs konti agrāk bija izmantojuši vienu un to pašu trūkumu dažu dienu laikā viens pēc otra. Tā vietā, lai tieši ziņotu par kļūdu, drošības pētnieks, iespējams, dalījās informācijā ar diviem līdzstrādniekiem, sacīja Percoco, piebilstot, ka nezināmās personas galu galā izņēma gandrīz 3 miljonus ASV dolāru no Krakena kasēm.
Percoco norādīja, ka sākotnējā “drošības pētnieka” ziņojumā kļūda nav pilnībā atklāta, tāpēc komandai bija atkārtoti jāapstiprina dažas detaļas, lai turpinātu atalgojumu par veiksmīgu drošības defekta noteikšanu.
Krakens pieprasīja pilnīgu pārskatu par viņu darbībām, koncepcijas pierādījumu un izņemto līdzekļu atgriešanu. Tomēr personas atteicās ievērot, ko Percoco raksturoja kā "nevis balto cepuru uzlaušanu", bet gan "izspiešanu". Joprojām nav skaidrs, vai Krakens identificēja visus uzbrucējus vai arī viņam izdevās atgūt nozagtos līdzekļus.
Lasīt vairāk: Kripto apmaiņa Kraken eyes 100 miljonu dolāru palielinājums pirms IPO

Kraken Chief Security atklāj UX izmaiņas, kas izraisīja kļūdu izmantošanu 3 miljonu dolāru apmērā

Apskati vairāk satura no autora

Jaunākās ziņas