Kraken pierde casi 3 millones de dólares a investigadores tras exploit

La plataforma de comercio de criptomonedas Kraken informó de un exploit hace menos de dos semanas que le hizo perder casi 3 millones de dólares en un ataque relacionado con un error.

El incidente pone de relieve las inseguridades y vulnerabilidades que siguen afectando a la industria.

Kraken perdió 3 millones de dólares en un ataque de insectos

Kraken reveló un ataque de error el 9 de junio, en el que el mal actor desvió casi $ 3 millones. Según el informe compartido por el director de seguridad de Kraken, Nick Percoco, el intercambio recibió un aviso del programa de recompensas por errores.

“El 9 de junio de 2024, recibimos un aviso sobre el programa Bug Bounty de un investigador de seguridad. Inicialmente no se revelaron detalles, pero su correo electrónico decía que habían encontrado un error “extremadamente crítico” que les permitió inflar artificialmente su saldo en nuestra plataforma”, señaló Percoco en un enviar El miércoles.

El CSO señaló que una investigación más profunda reveló un error aislado que otorgaba al atacante privilegios inmerecidos. Específicamente, podrían iniciar un depósito en Kraken Exchange y recibir fondos en su cuenta incluso si no hubieran completado el depósito por completo.

Leer más: Kraken Review 2024: seguridad y características

Un análisis forense ha revelado una vulnerabilidad en un cambio reciente de UX en la plataforma Kraken. Esta falla permitió a un atacante «imprimir activos» en su cuenta durante un período de tiempo. Es importante destacar que ningún activo del cliente se vio comprometido y el problema se resolvió. Sin embargo, una investigación posterior descubrió que tres cuentas ya habían explotado el error con unos días de diferencia.

“Después de corregir el riesgo, investigamos a fondo la situación y rápidamente descubrimos que 3 cuentas habían explotado esta falla con unos pocos días de diferencia. A medida que profundizamos, notamos que una cuenta había sido KYC de un individuo que afirmaba ser un usuario. investigador de seguridad”, dijo Percoco.

Un investigador de seguridad descubrió un error en el sistema de financiación de Kraken y acreditó en su cuenta 4 dólares en criptomonedas. Esta cantidad fue suficiente para probar la falla y presentar un informe de recompensa por errores, lo que generaría una recompensa significativa bajo el programa Kraken.

En cambio, el investigador compartió el error con dos colegas, quienes lo explotaron para generar de manera fraudulenta sumas mucho mayores. Esta colusión provocó una pérdida de casi 3 millones de dólares, tomados de las tesorerías de Kraken en lugar de de los activos de los clientes.

Leer más: Los 5 principales fallos de seguridad criptográfica y cómo evitarlos

El incidente culminó en un caso de extorsión después de que la plataforma de comercio de criptomonedas intentara recuperar fondos de los investigadores. Kraken solicitó una contabilidad completa de las actividades de los investigadores, incluida la prueba de concepto utilizada para crear el negocio en cadena y cómo devolver los fondos retirados.

“Estos investigadores de seguridad se negaron. En cambio, solicitaron una llamada a su equipo de desarrollo comercial y no aceptaron devolver ningún fondo hasta que les proporcionemos una cantidad asumida en dólares que este error podría causar si no lo divulgaban. ¡Esto no es piratería de sombrero blanco, es extorsión! A Percoco le molestó.

Kraken luego recurrió a tratar el incidente como un caso penal y se comprometió a coordinarse con las autoridades. La empresa de investigación permanece en secreto.