Kraken Crypto Change atingida por roubo de US$ 3 milhões explorando falha de dia zero
![crypto](https://i3.wp.com/blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiHgJlqHLiGVaoIa3w7KEj4HNDEaCdWCJ5kt287N2VrM2IN20krWTM6Uy9Wi-x77CXEroCggF-SLE92YIXX0jyVkzUM7q4X4c7_jv5Lj4ikImB9u5G1SCCjq5Ssy3-Fo9UA-Wd89qE6sqr4PyauBCacs1xfJr1Qwy8fh-k45HtStpPA7S08FrBzi0xnD78d/s728-rw-e365/crypto.png?w=780&resize=780,470&ssl=1)
![Falha de dia zero Falha de dia zero](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiHgJlqHLiGVaoIa3w7KEj4HNDEaCdWCJ5kt287N2VrM2IN20krWTM6Uy9Wi-x77CXEroCggF-SLE92YIXX0jyVkzUM7q4X4c7_jv5Lj4ikImB9u5G1SCCjq5Ssy3-Fo9UA-Wd89qE6sqr4PyauBCacs1xfJr1Qwy8fh-k45HtStpPA7S08FrBzi0xnD78d/s728-rw-e365/crypto.png)
A change de criptomoedas Kraken revelou que um pesquisador de segurança não identificado explorou uma falha “extremamente crítica” de dia zero em sua plataforma para roubar US$ 3 milhões em ativos digitais e se recusou a devolvê-los.
Os detalhes do incidente foram compartilhados pelo diretor de segurança da Kraken, Nick Percoco, no X (anteriormente Twitter), afirmando que recebeu um alerta do programa Bug Bounty sobre um bug que “permitiu que eles aumentassem artificialmente seu saldo em nossa plataforma” sem compartilhar qualquer outro. detalhes
A empresa disse que identificou um problema de segurança minutos após receber o alerta que essencialmente permitia que um invasor “iniciasse um depósito em nossa plataforma e recebesse fundos em sua conta sem concluir totalmente o depósito”.
![Cíber segurança](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiPFFLXZHfTA0FUmsAJ30SeqiM34x3Qes8BjBSTnhm4zHUJUal87CZLGZFJ7f5vxdaZIyNeTzf7fA-8s0CQhiG9ltxRFReWpgvmp2VfSMbjmN8i0yCv_74a3h7HaGxNlFqr5LEyPghIcxNNfXkksw3nQvKsqKKAU4wsl5Ll9UKu2hv6fbtXy4PHGNBW8SxC/s1200/a_d.png)
Embora Kraken tenha enfatizado que nenhum ativo de cliente corria risco de problema, isso poderia ter permitido que um ator de ameaça imprimisse ativos em suas contas. O problema foi resolvido em 47 minutos, disse.
Ele também disse que a falha resultou de uma mudança recente na interface do usuário que permite aos clientes depositar fundos e usá-los antes de serem liberados.
Além disso, uma investigação mais aprofundada revelou o fato de que três contas, incluindo uma pertencente ao suposto pesquisador de segurança, exploraram a falha com poucos dias de diferença e desviaram US$ 3 milhões.
“Esse indivíduo descobriu o bug em nosso sistema de financiamento e aproveitou-o para creditar US$ 4 em criptografia em sua conta”, disse Percoco. “Isso teria sido suficiente para provar a falha, enviar um relatório de recompensa de bug à nossa equipe e receber uma recompensa considerável sob os termos do nosso programa.”
“Em vez disso, o 'pesquisador de segurança' divulgou esse bug para dois outros indivíduos com quem eles trabalham e que geraram somas muito maiores de forma fraudulenta. Eles finalmente retiraram quase US$ 3 milhões de suas contas Kraken. Isso veio dos tesouros da Kraken, e não de outros ativos de clientes.”
Em uma estranha reviravolta, ao serem abordados pela Kraken para compartilhar sua exploração de prova de conceito (PoC) usada para criar a atividade on-chain e para organizar a devolução dos fundos que haviam retirado, eles exigiram que o a empresa entra em contato com sua equipe de desenvolvimento de negócios para pagar um determinado valor para liberar os ativos.
![Cíber segurança](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhNS3KFIZ1kUzX9UAyIXkbApCqvKVe4YB7J7YxS5pyT89_UulKpYdfjxFzpEtKx1mkKxptph1SCYggLbhJDkGbKinHSktbbkeXeYBqil8kXuFRmXI-z3FdKj2qTdIYb5vdqZ-mb_NBp3AMTlAP7s4X9r14mq7rDBORzMWvL3CWY8vfZXFKBhdl3-x0BxK89/s728-e365/ad-d.jpg)
“Isto não é hacking de chapéu branco, é extorsão”, disse Percoco, instando as partes envolvidas a devolverem os fundos roubados.
O nome da empresa não foi divulgado, mas Kraken disse que está tratando o evento de segurança como um caso legal e que está coordenando o assunto com as agências de aplicação da lei.
“Como pesquisador de segurança, sua licença para ‘hackear’ uma empresa é habilitada seguindo as regras simples do programa de recompensas de bugs do qual você está participando”, observou Percoco. “Ignorar essas regras e extorquir a empresa revoga sua ‘licença para hackear’. Isso faz de você e de sua empresa criminosos.”