Presuntos investigadores robaron 3 millones de dólares del intercambio Kraken

Livier ManzoJun 19, 2024

Presuntos investigadores robaron 3 millones de dólares del intercambio Kraken

Presuntos investigadores explotaron un día cero en el intercambio de criptomonedas Kraken para robar $3 millones en criptomonedas.

El director de seguridad de Kraken, Nick Percoco, reveló que presuntos investigadores de seguridad explotaron una falla de día cero para robar criptomonedas por valor de 3 millones de dólares. Los investigadores se niegan a devolver los fondos robados.

Actualización de seguridad de Kraken:

El 9 de junio de 2024, recibimos una alerta del programa Bug Bounty de un investigador de seguridad. Inicialmente no se revelaron detalles, pero su correo electrónico afirmaba haber encontrado un error «extremadamente crítico» que les permitió inflar artificialmente su saldo en nuestra plataforma.

-Nick Percoco (@c7five) 19 de junio de 2024

Percoco reveló que un investigador de seguridad informó de un error «extremadamente crítico» en el intercambio el 9 de junio. El investigador no reveló detalles técnicos sobre los problemas, solo explicó que la falla permitía a alguien aumentar arbitrariamente los saldos en la billetera.

«Todos los días recibimos informes falsos de recompensas por errores de personas que dicen ser «investigadores de seguridad». Esto no es nuevo para nadie que ejecute un programa de recompensas por errores. Sin embargo, nos tomamos esto en serio y rápidamente formamos un equipo multifuncional para entrar en este asunto.» Percoco explicó.

El equipo de seguridad de Kraken descubrió un «error aislado» que permitía a un atacante, bajo circunstancias específicas, iniciar un depósito en la plataforma y recibir fondos en su cuenta sin completar el depósito.

La compañía señaló que los activos del cliente no están en riesgo; sin embargo, un atacante puede imprimir efectivamente los activos en su cuenta Kraken durante algún tiempo.

El equipo de seguridad abordó la vulnerabilidad en una hora. La vulnerabilidad se deriva de un cambio reciente en la interfaz de usuario que acredita rápidamente las cuentas de los clientes antes de que se liquiden sus activos y permite a los clientes operar de manera efectiva en mercados criptográficos en tiempo real.

«Este cambio de UX no se ha probado exhaustivamente contra este vector de ataque específico». continuar el

Después de parchear la vulnerabilidad, los expertos descubrieron que tres cuentas explotaron la vulnerabilidad en unos pocos días. Una de estas cuentas fue verificada por un individuo que decía ser un investigador de seguridad.

En cambio, el ‘investigador de seguridad’ reveló este error a otras dos personas con las que trabaja, quienes de manera fraudulenta generaron sumas mucho mayores. Finalmente retiraron casi 3 millones de dólares de sus cuentas de Kraken. Esto procedía de las arcas de Kraken, no de otros activos de clientes.

-Nick Percoco (@c7five) 19 de junio de 2024

Percoco añadió que el investigador reveló el error a otras dos personas que lo utilizaron para retirar 3 millones de dólares en fondos robados de sus cuentas en Kraken.

La empresa pidió a los investigadores que devolvieran los fondos robados, pero ellos se negaron.

En cambio, solicitaron una llamada a su equipo de desarrollo comercial (es decir, sus representantes de ventas) y no aceptaron devolver ningún fondo hasta que les proporcionemos una cantidad especulada de dólares que este error podría haber causado; de lo contrario, no lo revelemos. ¡Esto no es hackeo de sombrero blanco, es extorsión!

-Nick Percoco (@c7five) 19 de junio de 2024

«¡Esto no es hackeo de sombrero blanco, es extorsión!» dijo Percoco, quien agregó que su empresa ha notificado a las autoridades.

Source link