Kraken Reports Nearly $3 Million Bug-Related Exploit

Kraken pierde casi 3 millones de dólares a investigadores tras exploit

Publicado por
Comparte en redes sociales



La plataforma de comercio de criptomonedas Kraken informó de un exploit hace menos de dos semanas que le hizo perder casi 3 millones de dólares en un ataque relacionado con un error.

El incidente pone de relieve las inseguridades y vulnerabilidades que siguen afectando a la industria.

Kraken perdió 3 millones de dólares en un ataque de insectos

Kraken reveló un ataque de error el 9 de junio, en el que el mal actor desvió casi $ 3 millones. Según el informe compartido por el director de seguridad de Kraken, Nick Percoco, el intercambio recibió un aviso del programa de recompensas por errores.

“El 9 de junio de 2024, recibimos un aviso sobre el programa Bug Bounty de un investigador de seguridad. Inicialmente no se revelaron detalles, pero su correo electrónico decía que habían encontrado un error “extremadamente crítico” que les permitió inflar artificialmente su saldo en nuestra plataforma”, señaló Percoco en un enviar El miércoles.

El CSO señaló que una investigación más profunda reveló un error aislado que otorgaba al atacante privilegios inmerecidos. Específicamente, podrían iniciar un depósito en Kraken Exchange y recibir fondos en su cuenta incluso si no hubieran completado el depósito por completo.

Leer más: Kraken Review 2024: seguridad y características

Un análisis forense ha revelado una vulnerabilidad en un cambio reciente de UX en la plataforma Kraken. Esta falla permitió a un atacante «imprimir activos» en su cuenta durante un período de tiempo. Es importante destacar que ningún activo del cliente se vio comprometido y el problema se resolvió. Sin embargo, una investigación posterior descubrió que tres cuentas ya habían explotado el error con unos días de diferencia.

“Después de corregir el riesgo, investigamos a fondo la situación y rápidamente descubrimos que 3 cuentas habían explotado esta falla con unos pocos días de diferencia. A medida que profundizamos, notamos que una cuenta había sido KYC de un individuo que afirmaba ser un usuario. investigador de seguridad”, dijo Percoco.

Un investigador de seguridad descubrió un error en el sistema de financiación de Kraken y acreditó en su cuenta 4 dólares en criptomonedas. Esta cantidad fue suficiente para probar la falla y presentar un informe de recompensa por errores, lo que generaría una recompensa significativa bajo el programa Kraken.

Leer también  Las 3 principales criptomonedas de bajo riesgo y alta recompensa para nuevos inversores en 2024

En cambio, el investigador compartió el error con dos colegas, quienes lo explotaron para generar de manera fraudulenta sumas mucho mayores. Esta colusión provocó una pérdida de casi 3 millones de dólares, tomados de las tesorerías de Kraken en lugar de de los activos de los clientes.

Leer más: Los 5 principales fallos de seguridad criptográfica y cómo evitarlos

El incidente culminó en un caso de extorsión después de que la plataforma de comercio de criptomonedas intentara recuperar fondos de los investigadores. Kraken solicitó una contabilidad completa de las actividades de los investigadores, incluida la prueba de concepto utilizada para crear el negocio en cadena y cómo devolver los fondos retirados.

“Estos investigadores de seguridad se negaron. En cambio, solicitaron una llamada a su equipo de desarrollo comercial y no aceptaron devolver ningún fondo hasta que les proporcionemos una cantidad asumida en dólares que este error podría causar si no lo divulgaban. ¡Esto no es piratería de sombrero blanco, es extorsión! A Percoco le molestó.

Kraken luego recurrió a tratar el incidente como un caso penal y se comprometió a coordinarse con las autoridades. La empresa de investigación permanece en secreto.

Descargo de responsabilidad

De acuerdo con las directrices del Trust Project, BeInCrypto se compromete a proporcionar informes imparciales y transparentes. Este artículo de noticias tiene como objetivo proporcionar información precisa y oportuna. Sin embargo, se recomienda a los lectores que verifiquen los hechos de forma independiente y consulten a un profesional antes de tomar cualquier decisión basada en este contenido. Tenga en cuenta que nuestros Términos y condiciones, Política de privacidad y Descargos de responsabilidad se han actualizado.

Leer también  El intercambio descentralizado de criptomonedas Uniswap lleva la billetera móvil a los usuarios de Android



Source link

Si quiere puede hacernos una donación por el trabajo que hacemos, lo apreciaremos mucho.

Direcciones de Billetera:

- BTC: 14xsuQRtT3Abek4zgDWZxJXs9VRdwxyPUS 

- USDT: TQmV9FyrcpeaZMro3M1yeEHnNjv7xKZDNe 

- BNB: 0x2fdb9034507b6d505d351a6f59d877040d0edb0f

- DOGE: D5SZesmFQGYVkE5trYYLF8hNPBgXgYcmrx 

También puede seguirnos en nuestras Redes sociales para mantenerse al tanto de los últimos post de la web:

-Twitter

- Telegram

Disclaimer: En Cryptoshitcompra.com no nos hacemos responsables de ninguna inversión de ningún visitante, nosotros simplemente damos información sobre Tokens, juegos NFT y criptomonedas, no recomendamos inversiones

Dejar un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *