Bursa Kraken din SUA a pierdut aproape 3 milioane de dolari din trezoreria sa, după ce o companie de securitate fără nume a exploatat o eroare pe platforma sa. Ofițerul șef de securitate, Nick Percoco, a dezvăluit acest lucru într-o postare pe X, afirmând că firma de securitate a refuzat să returneze fondurile și solicită acum o plată mai mare ca recompensă.
Citește și: Crypto Exchange DMM Bitcoin promite să-i ramburseze pe utilizatori după un Hack de 300 de milioane de dolari
Ca răspuns, Kraken a escaladat chestiunea agențiilor de aplicare a legii și o va trata drept criminală. Cu toate acestea, utilizatorii nu trebuie să-și facă griji, deoarece schimbul susține că a rezolvat deja vulnerabilitatea și că niciun cont de utilizator nu a fost afectat.
Bug Kraken permite imprimarea banilor
Potrivit Percoco, un cercetător de securitate a alertat Kraken despre o eroare critică prin programul său Bug Bounty pe 9 iunie. În urma investigațiilor interne, echipa de securitate a schimbului a descoperit o vulnerabilitate care ar putea permite unui actor rău să inițieze o depunere în contul Kraken și să primească fonduri fără a completa depozitul. Un atacator rău intenționat ar putea imprima milioane din aer prin acest exploit.
A explicat:
„Am descoperit un bug izolat. Acest lucru a permis unui atacator rău intenționat, în circumstanțe adecvate, să inițieze o depunere pe platforma noastră și să primească fonduri în contul său fără a finaliza complet depunerea.”
Echipa de securitate internă a atenuat problema în 47 de minute și a remediat-o complet după câteva ore. Cu toate acestea, firma a descoperit că eroarea a rezultat dintr-o modificare recentă a UX, care a permis creditarea conturilor clienților înainte ca activele lor să fie compensate. Deși modificarea a fost integrată pentru a permite tranzacționarea instantanee, nu a fost testată complet împotriva acestui tip de risc.
Cu toate acestea, Percoco a adăugat că incidentul nu a afectat activele utilizatorilor, iar exploatările vulnerabilității au afectat doar trezoreria Kraken.
Cercetătorii de securitate sunt criminali
Între timp, o analiză a vulnerabilității a constatat că trei conturi au exploatat defectul, iar unul dintre aceste conturi a fost înregistrat sub numele cercetătorului de securitate care a contactat inițial schimbul.
Citește și: Kraken ia în considerare eliminarea USDT ca răspuns la noile reglementări UE
În timp ce contul cercetătorului a folosit defectul doar pentru a se credita cu 4 dolari, suficient pentru a dovedi că bug-ul era real, celelalte două conturi au retras aproape 3 milioane de dolari din conturile Kraken folosind același exploit. Interesant este că aceste conturi au fost asociate cu asociații cercetătorului de securitate.
Kraken a explicat că încercările sale de a obține fondurile returnate au fost zadarnice, deoarece cercetătorii cer acum o plată mai mare pe care o consideră proporțională cu riscul apariției erorii.
Percoco a descris acest lucru ca pe un act de extorcare, care contrazice principiul din spatele programului Bug Bounty. El a adăugat că încălcarea acelor reguli care acordă hackerilor cu pălărie albă licența de a pirata îi face pe cercetătorii de securitate criminali, iar schimbul îi tratează ca atare.