Kraken Crypto Exchange atingiu novo roubo da 3M explorando falha de dia zero:
A exchange de criptomoedas Kraken revelou que um pesquisador de segurança não identificado explorou uma falha “extremamente crítica” de dia zero em sua plataforma para roubar US$ 3 milhões em ativos digitais e se recusou a devolvê-los.
Os detalhes do incidente foram compartilhados pelo diretor de segurança da Kraken, Nick Percoco, no X (anteriormente Twitter), afirmando que recebeu um alerta do programa Bug Bounty sobre um bug que “permitiu que eles aumentassem artificialmente seu saldo em nossa plataforma” sem compartilhar qualquer outro. detalhes
A empresa disse que identificou um problema de segurança minutos após receber o alerta que essencialmente permitia que um invasor “iniciasse um depósito em nossa plataforma e recebesse fundos em sua conta sem concluir totalmente o depósito”.
Embora Kraken tenha enfatizado que nenhum ativo de cliente corria risco de problema, isso poderia ter permitido que um ator de ameaça imprimisse ativos em suas contas. O problema foi resolvido em 47 minutos, disse.
Ele também disse que a falha resultou de uma mudança recente na interface do usuário que permite aos clientes depositar fundos e usá-los antes de serem liberados.
Além disso, uma investigação mais aprofundada revelou o fato de que três contas, incluindo uma pertencente ao suposto pesquisador de segurança, exploraram a falha com poucos dias de diferença e desviaram US$ 3 milhões.
“Esse indivíduo descobriu o bug em nosso sistema de financiamento e aproveitou-o para creditar US$ 4 em criptografia em sua conta”, disse Percoco. “Isso teria sido suficiente para provar a falha, enviar um relatório de recompensa de bug à nossa equipe e receber uma recompensa considerável sob os termos do nosso programa.”
"Em vez disso, o 'pesquisador de segurança' divulgou esse bug para dois outros indivíduos com quem eles trabalham e que geraram somas muito maiores de forma fraudulenta. Eles finalmente retiraram quase US$ 3 milhões de suas contas Kraken. Isso veio dos tesouros da Kraken, e não de outros ativos de clientes."
#BNBHODLer #BinanceTournament #AirdropGuide #BTCFOMCWatch #BTC
