Kraken rivela un bug che ha permesso a dei "ricercatori della sicurezza" disonesti di sfruttare 3 milioni di dollari

L'exchange statunitense Kraken ha perso quasi 3 milioni di dollari in tesoreria dopo che una società di sicurezza anonima ha sfruttato un bug sulla sua piattaforma. Il responsabile della sicurezza, Nick Percoco, ha reso noto in un post su X, affermando che la società di sicurezza si è rifiutata di restituire i fondi e ora chiede una ricompensa più elevata.

Leggi anche: L'exchange di criptovalute DMM Bitcoin promette di rimborsare gli utenti dopo l'attacco hacker da 300 milioni di dollari

In risposta, Kraken ha segnalato la questione alle forze dell'ordine e la tratterà come un reato. Tuttavia, gli utenti non devono preoccuparsi, poiché l'exchange afferma di aver già risolto la vulnerabilità e che nessun account utente è stato interessato.

Il bug di Kraken consente la stampa di denaro

Secondo Percoco, un ricercatore di sicurezza ha avvisato Kraken di un bug critico tramite il suo programma Bug Bounty il 9 giugno. Dopo indagini interne, il team di sicurezza dell'exchange ha scoperto una vulnerabilità che potrebbe consentire a un malintenzionato di avviare un deposito sul proprio account Kraken e ricevere i fondi senza completarlo. Un aggressore malintenzionato potrebbe stampare milioni di dollari dal nulla tramite questo exploit.

Ha spiegato:

"Abbiamo scoperto un bug isolato. Questo consentiva a un malintenzionato, nelle giuste circostanze, di avviare un deposito sulla nostra piattaforma e ricevere fondi sul proprio conto senza completarlo completamente."

Il team di sicurezza interno ha mitigato il problema in 47 minuti e lo ha risolto completamente dopo poche ore. Tuttavia, l'azienda ha scoperto che il bug era dovuto a una recente modifica alla sua UX, che consentiva di accreditare i conti dei clienti prima che i loro asset venissero liquidati. Sebbene la modifica fosse stata integrata per consentire il trading istantaneo, non era stata completamente testata contro questo tipo di rischio.

Tuttavia, Percoco ha aggiunto che l'dent non ha avuto ripercussioni sulle risorse degli utenti e che lo sfruttamento della vulnerabilità ha interessato solo la tesoreria di Kraken.

I ricercatori della sicurezza sono criminali

Nel frattempo, un'analisi della vulnerabilità ha scoperto che tre account hanno sfruttato la falla e uno di questi account era registrato a nome del ricercatore di sicurezza che aveva contattato inizialmente l'exchange.

Leggi anche: Kraken valuta la possibilità di rimuovere USDT dalla quotazione in risposta alle nuove normative UE

Mentre l'account del ricercatore ha utilizzato la falla solo per accreditarsi 4 dollari, sufficienti a dimostrare l'autenticità del bug, gli altri due account hanno prelevato quasi 3 milioni di dollari dai loro account Kraken utilizzando lo stesso exploit. È interessante notare che questi account erano associati a collaboratori del ricercatore di sicurezza.

Kraken ha spiegato che i suoi tentativi di ottenere la restituzione dei fondi sono stati vani, poiché i ricercatori ora chiedono un pagamento più elevato che ritengono commisurato al rischio del virus.

Percoco ha descritto l'accaduto come un atto di estorsione, in contraddizione con il principio alla base del programma Bug Bounty. Ha aggiunto che violare le regole che danno agli hacker white hat la licenza di hackerare rende i ricercatori di sicurezza dei criminali, e l'exchange li tratta come tali.