Hackers Exploit Kraken Bug, Steal Nearly $3 Million

Coinfomania · 2024-06-19T17:03:03.000Z

Kraken, a cryptocurrency exchange, recently reported the theft of nearly $3 million from its accounts due to a critical bug. The issue, stemming from a flaw introduced in a recent user experience update, allowed attackers to credit their accounts before their deposits were fully cleared. Discovery of the Bug This vulnerability was labeled as allowing malicious users to “print assets” for a temporary period. The security breach was contained within a few hours after its discovery, as stated by Kraken’s Chief Security Officer, Nick Percoco. The bug was first flagged to Kraken’s attention through its bug bounty program on June 9. Although the initial report lacked detailed information, it prompted an immediate investigation by Kraken. This probe uncovered an isolated incident where a malicious party could initiate an incomplete deposit to fraudulently receive funds. Percoco clarified that the vulnerability occurred under specific conditions and did not put client assets directly at risk. Kraken discloses it was exploited on X Subsequent inquiries into the system’s integrity revealed that the vulnerability had been exploited by three separate accounts shortly before the bug was officially reported. These accounts managed to siphon off substantial sums in a series of transactions that coincidentally took place over several days. Percoco disclosed that the individual who reported the bug had originally tested the flaw by crediting their own account with $4, supposedly to demonstrate the bug’s existence and secure a reward through the bug bounty program. However, it later emerged that this individual had shared details of the vulnerability with two associates instead of keeping it confidential. These collaborators then withdrew nearly $3 million in total from Kraken, directly from the company’s reserves. Percoco emphasized that these funds were not from other client accounts. In response to this incident, Kraken demanded a full account of their activities and the return of the stolen funds. The accused parties, however, have withheld the funds, demanding Kraken first reveal the potential extent of the exploit had it remained undisclosed. Kraken’s Response and Legal Actions This situation escalated when the researchers labeled Kraken’s requests for the return of the funds as “unreasonable” and “unprofessional.” As a result, Kraken has opted not to publicly identify the research firm involved, citing the breach of bug bounty terms and framing their actions as not only unethical but criminal. The exchange is now coordinating with law enforcement to address the issue as a criminal case, rejecting any recognition of the firm involved due to their actions. This unfortunate event at Kraken adds to the broader landscape of digital asset vulnerabilities, with crypto hacks set to rise in 2024. Crypto Losses Breakdown by Vulnerability According to Merkle Science’s “2024 Crypto HackHub Report,” the first quarter of 2024 alone saw hackers steal digital assets worth $542.7 million, marking a 42% increase from the same period in 2023. The industry has noted a shift in the nature of these security breaches, with private key leaks now overtaking smart contract exploits as the leading cause. This trend contrasts sharply with previous years, where vulnerabilities in smart contracts were more dominant. The report also highlighted a significant decrease in losses due to smart contract vulnerabilities, which fell 92% to $179 million in 2023, down from $2.6 billion in 2022. Despite this, over 55% of the hacked digital assets in 2023 were attributed to private key leaks, underscoring a persistent security challenge within the cryptocurrency sector. Over the past 13 years, the industry has faced 785 reported hacks and exploits, with nearly $19 billion lost, indicating a critical need for improved security measures across the board. The post Hackers Exploit Kraken Bug, Steal Nearly $3 Million appeared first on Coinfomania.

Kraken, uma bolsa de criptomoedas, relatou recentemente o roubo de quase US$ 3 milhões de suas contas devido a um bug crítico. O problema, decorrente de uma falha introduzida em uma atualização recente da experiência do usuário, permitiu que invasores creditassem suas contas antes que seus depósitos fossem totalmente compensados.
Descoberta do bug
Esta vulnerabilidade foi rotulada como permitindo que usuários mal-intencionados “imprimissem ativos” por um período temporário. A violação de segurança foi contida poucas horas após sua descoberta, conforme declarado pelo Diretor de Segurança da Kraken, Nick Percoco.
O bug foi sinalizado pela primeira vez à atenção da Kraken por meio de seu programa de recompensas de bugs em 9 de junho. Embora o relatório inicial não tivesse informações detalhadas, ele levou a uma investigação imediata por parte da Kraken.
Esta investigação revelou um incidente isolado em que uma parte mal-intencionada poderia iniciar um depósito incompleto para receber fundos de forma fraudulenta. A Percoco esclareceu que a vulnerabilidade ocorreu em condições específicas e não colocou os ativos dos clientes diretamente em risco.
 Kraken revela que foi explorado no X
Investigações subsequentes sobre a integridade do sistema revelaram que a vulnerabilidade havia sido explorada por três contas separadas pouco antes do bug ser oficialmente relatado. Estas contas conseguiram desviar somas substanciais numa série de transações que coincidentemente ocorreram durante vários dias.
A Percoco revelou que o indivíduo que relatou o bug havia originalmente testado a falha creditando US$ 4 em sua própria conta, supostamente para demonstrar a existência do bug e garantir uma recompensa por meio do programa de recompensas por bugs.
No entanto, mais tarde descobriu-se que este indivíduo tinha partilhado detalhes da vulnerabilidade com dois associados, em vez de mantê-los confidenciais. Esses colaboradores retiraram então quase US$ 3 milhões no total da Kraken, diretamente das reservas da empresa.
A Percoco enfatizou que esses recursos não provinham de contas de outros clientes. Em resposta a este incidente, Kraken exigiu um relato completo de suas atividades e a devolução dos fundos roubados.
As partes acusadas, no entanto, retiveram os fundos, exigindo que a Kraken primeiro revelasse a extensão potencial da exploração, caso esta permanecesse secreta.
Resposta e ações legais de Kraken
Esta situação agravou-se quando os investigadores classificaram os pedidos de Kraken para a devolução dos fundos como “irracionais” e “não profissionais”.
Como resultado, Kraken optou por não identificar publicamente a empresa de pesquisa envolvida, citando a violação dos termos de recompensa por bugs e enquadrando suas ações como não apenas antiéticas, mas também criminosas.
A bolsa está agora em coordenação com as autoridades para tratar a questão como um caso criminal, rejeitando qualquer reconhecimento da empresa envolvida devido às suas ações.
Este infeliz evento em Kraken aumenta o cenário mais amplo de vulnerabilidades de ativos digitais, com hacks de criptografia previstos para aumentar em 2024.
 Análise de perdas criptográficas por vulnerabilidade
De acordo com o “2024 Crypto HackHub Report” da Merkle Science, só no primeiro trimestre de 2024 os hackers roubaram ativos digitais no valor de US$ 542,7 milhões, marcando um aumento de 42% em relação ao mesmo período de 2023.
A indústria notou uma mudança na natureza destas violações de segurança, com as fugas de chaves privadas a ultrapassarem agora as explorações de contratos inteligentes como a principal causa. Esta tendência contrasta fortemente com os anos anteriores, onde as vulnerabilidades nos contratos inteligentes eram mais dominantes.
O relatório também destacou uma diminuição significativa nas perdas devido a vulnerabilidades de contratos inteligentes, que caíram 92% para US$ 179 milhões em 2023, abaixo dos US$ 2,6 bilhões em 2022. Apesar disso, mais de 55% dos ativos digitais hackeados em 2023 foram atribuídos a chaves privadas. vazamentos, ressaltando um desafio persistente de segurança no setor de criptomoedas.
Nos últimos 13 anos, a indústria enfrentou 785 ataques e explorações relatados, com quase 19 mil milhões de dólares perdidos, indicando uma necessidade crítica de medidas de segurança melhoradas em todos os níveis.
O posto Hackers exploram bug do Kraken e roubam quase US$ 3 milhões apareceu pela primeira vez no Coinfomania.

Hackers exploram bug do Kraken e roubam quase US$ 3 milhões

Explore mais do Criador

Últimas Notícias