A change de criptomoedas Kraken revelou que um pesquisador de segurança não identificado explorou uma falha “extremamente crítica” de dia zero em sua plataforma para roubar US$ 3 milhões em ativos digitais e se recusou a devolvê-los.
Os detalhes do incidente foram compartilhados pelo diretor de segurança da Kraken, Nick Percoco, no X (anteriormente Twitter), afirmando que recebeu um alerta do programa Bug Bounty sobre um bug que “permitiu que eles aumentassem artificialmente seu saldo em nossa plataforma” sem compartilhar qualquer outro. detalhes
A empresa disse que identificou um problema de segurança minutos após receber o alerta que essencialmente permitia que um invasor “iniciasse um depósito em nossa plataforma e recebesse fundos em sua conta sem concluir totalmente o depósito”.
Embora Kraken tenha enfatizado que nenhum ativo de cliente corria risco de problema, isso poderia ter permitido que um ator de ameaça imprimisse ativos em suas contas. O problema foi resolvido em 47 minutos, disse.
Ele também disse que a falha resultou de uma mudança recente na interface do usuário que permite aos clientes depositar fundos e usá-los antes de serem liberados.
Além disso, uma investigação mais aprofundada revelou o fato de que três contas, incluindo uma pertencente ao suposto pesquisador de segurança, exploraram a falha com poucos dias de diferença e desviaram US$ 3 milhões.
“Esse indivíduo descobriu o bug em nosso sistema de financiamento e aproveitou-o para creditar US$ 4 em criptografia em sua conta”, disse Percoco. “Isso teria sido suficiente para provar a falha, enviar um relatório de recompensa de bug à nossa equipe e receber uma recompensa considerável sob os termos do nosso programa.”
“Em vez disso, o 'pesquisador de segurança' divulgou esse bug para dois outros indivíduos com quem eles trabalham e que geraram somas muito maiores de forma fraudulenta. Eles finalmente retiraram quase US$ 3 milhões de suas contas Kraken. Isso veio dos tesouros da Kraken, e não de outros ativos de clientes.”
Em uma estranha reviravolta, ao serem abordados pela Kraken para compartilhar sua exploração de prova de conceito (PoC) usada para criar a atividade on-chain e para organizar a devolução dos fundos que haviam retirado, eles exigiram que o a empresa entra em contato com sua equipe de desenvolvimento de negócios para pagar um determinado valor para liberar os ativos.
“Isto não é hacking de chapéu branco, é extorsão”, disse Percoco, instando as partes envolvidas a devolverem os fundos roubados.
O nome da empresa não foi divulgado, mas Kraken disse que está tratando o evento de segurança como um caso legal e que está coordenando o assunto com as agências de aplicação da lei.
“Como pesquisador de segurança, sua licença para ‘hackear’ uma empresa é habilitada seguindo as regras simples do programa de recompensas de bugs do qual você está participando”, observou Percoco. “Ignorar essas regras e extorquir a empresa revoga sua ‘licença para hackear’. Isso faz de você e de sua empresa criminosos.”
