Hackers Exploit Kraken Bug, Steal Nearly $3 Million

Coinfomania · 2024-06-19T17:03:03.000Z

Kraken, a cryptocurrency exchange, recently reported the theft of nearly $3 million from its accounts due to a critical bug. The issue, stemming from a flaw introduced in a recent user experience update, allowed attackers to credit their accounts before their deposits were fully cleared. Discovery of the Bug This vulnerability was labeled as allowing malicious users to “print assets” for a temporary period. The security breach was contained within a few hours after its discovery, as stated by Kraken’s Chief Security Officer, Nick Percoco. The bug was first flagged to Kraken’s attention through its bug bounty program on June 9. Although the initial report lacked detailed information, it prompted an immediate investigation by Kraken. This probe uncovered an isolated incident where a malicious party could initiate an incomplete deposit to fraudulently receive funds. Percoco clarified that the vulnerability occurred under specific conditions and did not put client assets directly at risk. Kraken discloses it was exploited on X Subsequent inquiries into the system’s integrity revealed that the vulnerability had been exploited by three separate accounts shortly before the bug was officially reported. These accounts managed to siphon off substantial sums in a series of transactions that coincidentally took place over several days. Percoco disclosed that the individual who reported the bug had originally tested the flaw by crediting their own account with $4, supposedly to demonstrate the bug’s existence and secure a reward through the bug bounty program. However, it later emerged that this individual had shared details of the vulnerability with two associates instead of keeping it confidential. These collaborators then withdrew nearly $3 million in total from Kraken, directly from the company’s reserves. Percoco emphasized that these funds were not from other client accounts. In response to this incident, Kraken demanded a full account of their activities and the return of the stolen funds. The accused parties, however, have withheld the funds, demanding Kraken first reveal the potential extent of the exploit had it remained undisclosed. Kraken’s Response and Legal Actions This situation escalated when the researchers labeled Kraken’s requests for the return of the funds as “unreasonable” and “unprofessional.” As a result, Kraken has opted not to publicly identify the research firm involved, citing the breach of bug bounty terms and framing their actions as not only unethical but criminal. The exchange is now coordinating with law enforcement to address the issue as a criminal case, rejecting any recognition of the firm involved due to their actions. This unfortunate event at Kraken adds to the broader landscape of digital asset vulnerabilities, with crypto hacks set to rise in 2024. Crypto Losses Breakdown by Vulnerability According to Merkle Science’s “2024 Crypto HackHub Report,” the first quarter of 2024 alone saw hackers steal digital assets worth $542.7 million, marking a 42% increase from the same period in 2023. The industry has noted a shift in the nature of these security breaches, with private key leaks now overtaking smart contract exploits as the leading cause. This trend contrasts sharply with previous years, where vulnerabilities in smart contracts were more dominant. The report also highlighted a significant decrease in losses due to smart contract vulnerabilities, which fell 92% to $179 million in 2023, down from $2.6 billion in 2022. Despite this, over 55% of the hacked digital assets in 2023 were attributed to private key leaks, underscoring a persistent security challenge within the cryptocurrency sector. Over the past 13 years, the industry has faced 785 reported hacks and exploits, with nearly $19 billion lost, indicating a critical need for improved security measures across the board. The post Hackers Exploit Kraken Bug, Steal Nearly $3 Million appeared first on Coinfomania.

Kraken, một sàn giao dịch tiền điện tử, gần đây đã báo cáo vụ trộm gần 3 triệu USD từ tài khoản của mình do một lỗi nghiêm trọng. Vấn đề xuất phát từ một lỗ hổng được giới thiệu trong bản cập nhật trải nghiệm người dùng gần đây, cho phép kẻ tấn công ghi có vào tài khoản của họ trước khi tiền gửi của họ được xóa hoàn toàn.
Khám phá lỗi
Lỗ hổng này được gắn nhãn là cho phép người dùng độc hại “in tài sản” trong một thời gian tạm thời. Theo tuyên bố của Giám đốc An ninh Kraken, Nick Percoco, vi phạm an ninh đã được ngăn chặn trong vòng vài giờ sau khi được phát hiện.
Lỗi này lần đầu tiên được Kraken chú ý thông qua chương trình tiền thưởng lỗi vào ngày 9 tháng 6. Mặc dù báo cáo ban đầu thiếu thông tin chi tiết nhưng nó đã khiến Kraken phải điều tra ngay lập tức.
Cuộc điều tra này đã phát hiện ra một sự cố riêng biệt trong đó một bên độc hại có thể bắt đầu gửi tiền không đầy đủ để nhận tiền một cách gian lận. Percoco làm rõ rằng lỗ hổng này xảy ra trong các điều kiện cụ thể và không khiến tài sản của khách hàng gặp rủi ro trực tiếp.
 Kraken tiết lộ nó đã bị khai thác trên X
Các cuộc điều tra sau đó về tính toàn vẹn của hệ thống cho thấy lỗ hổng này đã bị ba tài khoản riêng biệt khai thác ngay trước khi lỗi được báo cáo chính thức. Những tài khoản này đã tìm cách bòn rút số tiền đáng kể trong một loạt giao dịch tình cờ diễn ra trong nhiều ngày.
Percoco tiết lộ rằng cá nhân báo cáo lỗi ban đầu đã kiểm tra lỗ hổng bằng cách ghi có 4 USD vào tài khoản của chính họ, được cho là để chứng minh sự tồn tại của lỗi và đảm bảo phần thưởng thông qua chương trình tiền thưởng lỗi.
Tuy nhiên, sau đó nổi lên rằng cá nhân này đã chia sẻ thông tin chi tiết về lỗ hổng bảo mật với hai cộng sự thay vì giữ bí mật. Những người cộng tác này sau đó đã rút tổng cộng gần 3 triệu USD khỏi Kraken, trực tiếp từ nguồn dự trữ của công ty.
Percoco nhấn mạnh rằng số tiền này không phải từ tài khoản khách hàng khác. Để đối phó với sự cố này, Kraken yêu cầu báo cáo đầy đủ về các hoạt động của họ và trả lại số tiền bị đánh cắp.
Tuy nhiên, các bên bị cáo buộc đã giữ lại số tiền, yêu cầu Kraken trước tiên tiết lộ mức độ khai thác tiềm năng nếu nó vẫn chưa được tiết lộ.
Phản hồi và hành động pháp lý của Kraken
Tình trạng này càng leo thang khi các nhà nghiên cứu cho rằng yêu cầu trả lại tiền của Kraken là “vô lý” và “không chuyên nghiệp”.
Do đó, Kraken đã chọn không công khai danh tính công ty nghiên cứu có liên quan, với lý do vi phạm các điều khoản về tiền thưởng phát hiện lỗi và coi hành động của họ không chỉ là phi đạo đức mà còn là tội phạm.
Sàn giao dịch hiện đang phối hợp với cơ quan thực thi pháp luật để giải quyết vấn đề này như một vụ án hình sự, từ chối mọi sự công nhận đối với công ty có liên quan do hành động của họ.
Sự kiện đáng tiếc này tại Kraken làm tăng thêm bối cảnh rộng lớn hơn về các lỗ hổng tài sản kỹ thuật số, với các vụ hack tiền điện tử sẽ gia tăng vào năm 2024.
 Phân tích tổn thất tiền điện tử theo lỗ hổng
Theo “Báo cáo HackHub tiền điện tử năm 2024” của Merkle Science, chỉ riêng quý đầu tiên của năm 2024 đã chứng kiến ​​tin tặc đánh cắp tài sản kỹ thuật số trị giá 542,7 triệu USD, đánh dấu mức tăng 42% so với cùng kỳ năm 2023.
Ngành công nghiệp đã ghi nhận sự thay đổi về bản chất của những vi phạm bảo mật này, trong đó rò rỉ khóa riêng hiện vượt qua việc khai thác hợp đồng thông minh là nguyên nhân hàng đầu. Xu hướng này trái ngược hẳn với những năm trước, khi các lỗ hổng trong hợp đồng thông minh chiếm ưu thế hơn.
Báo cáo cũng nhấn mạnh mức thiệt hại giảm đáng kể do lỗ hổng hợp đồng thông minh, giảm 92% xuống còn 179 triệu USD vào năm 2023, giảm từ 2,6 tỷ USD vào năm 2022. Mặc dù vậy, hơn 55% tài sản kỹ thuật số bị tấn công vào năm 2023 là do khóa riêng tư. rò rỉ, nhấn mạnh thách thức bảo mật dai dẳng trong lĩnh vực tiền điện tử.
Trong 13 năm qua, ngành công nghiệp này đã phải đối mặt với 785 vụ hack và khai thác được báo cáo, với thiệt hại gần 19 tỷ USD, cho thấy nhu cầu cấp thiết về các biện pháp bảo mật được cải thiện trên diện rộng.
Bài đăng Hacker khai thác lỗi Kraken, đánh cắp gần 3 triệu USD xuất hiện đầu tiên trên Coinfomania.

Hacker khai thác lỗi Kraken, đánh cắp gần 3 triệu USD

Khám phá thêm từ Nhà sáng tạo nội dung

Tin tức mới nhất

Hacker khai thác lỗi Kraken, đánh cắp gần 3 triệu USD

Khám phá thêm từ Nhà sáng tạo nội dung

Tin tức mới nhất

Bài viết thịnh hành