Kryptovalutahandelsplattformen Kraken har rapporterat en exploatering för mindre än två veckor sedan, vilket ledde till en förlust på nästan 3 miljoner dollar på grund av en attack relaterad till en programvarubugg.
Incidenten belyser den osäkerhet och sårbarhet som fortsätter att infektera branschen.
Kraken förlorade 3 miljoner dollar i en buggattack
Kraken avslöjade en buggattack den 9 juni, där den dåliga skådespelaren kom undan med nästan 3 miljoner dollar. Baserat på rapporten som delades av Krakens säkerhetschef Nick Percoco fick börsen en varning om ett bug bounty-program.
“Den 9 juni 2024 mottog vi en varning från vårt Bug Bounty-program från en säkerhetsforskare. Inga detaljer avslöjades initialt, men i deras e-postmeddelande påstods det att de hade upptäckt en ‘extremt kritisk’ bugg som gjorde det möjligt för dem att artificiellt öka sitt saldo på vår plattform”, noterade Percoco i ett inlägg på onsdagen.
CSO noterade att en ytterligare undersökning avslöjade en isolerad bugg som gav den dåliga aktören oförtjänta privilegier. Specifikt kunde de initiera en insättning på Kraken Exchange och få pengar på sitt konto även om de inte hade slutfört insättningen helt.
Läs mer: Kraken Review 2024: Säkerhet och funktioner
En kriminalteknisk analys avslöjade en sårbarhet i en nyligen genomförd UX-ändring på Krakens plattform. Denna brist gjorde det möjligt för en illvillig angripare att “skriva ut tillgångar” på sitt konto under en viss tid. Det är viktigt att inga klienttillgångar äventyrades och att problemet har åtgärdats. En efterföljande undersökning upptäckte dock att tre konton redan hade utnyttjat felet inom några dagar efter varandra.
“Efter att ha åtgärdat risken undersökte vi situationen noggrant och upptäckte snabbt att 3 konton hade utnyttjat denna brist inom några dagar efter varandra. När vi grävde djupare märkte vi att ett konto var KYC:at till en person som påstod sig vara en säkerhetsforskare”, sa Percoco.
En säkerhetsforskare upptäckte en bugg i Krakens finansieringssystem och krediterade sitt konto med $4 i kryptovaluta. Detta belopp var tillräckligt för att visa felet och lämna in en bug bounty-rapport, vilket skulle ha fått en betydande belöning under Krakens program.
Istället delade forskaren buggen med två kollegor, som utnyttjade den för att generera mycket större summor på ett bedrägligt sätt. Denna samverkan ledde till en förlust på nästan 3 miljoner dollar, som togs från Krakens statskassor snarare än från kundtillgångar.
Läs mer: Topp 5 brister i kryptosäkerhet och hur man undviker dem
Incidenten kulminerade i ett fall av utpressning efter att kryptohandelsplattformen försökte få tillbaka pengarna från forskarna. Kraken begärde en fullständig redogörelse för forskarnas aktiviteter, inklusive det proof of concept som användes för att skapa on-chain-aktiviteten och arrangemang för att återbetala de uttagna medlen.
– De här säkerhetsforskarna vägrade. Istället krävde de ett samtal med sitt affärsutvecklingsteam och har inte gått med på att returnera några pengar förrän vi tillhandahåller ett spekulerat $-belopp som denna bugg kunde ha orsakat om de inte hade avslöjat den. Det här är inte white-hat-hacking, det är utpressning!” Percoco blev förnärmad.
Kraken har därför börjat behandla händelsen som ett brottmål och åtagit sig att samordna med brottsbekämpande myndigheter. Forskningsföretaget är fortfarande hemligt.
Trusted
Disclaimer
All information på vår webbplats publiceras i god tro och endast för allmän information. Varje åtgärd som läsaren vidtar baserat på informationen på vår webbplats sker strikt på egen risk.
