Crypto-uitwisseling Kraken onthulde dat een niet nader genoemde beveiligingsonderzoeker een ‘extreem kritieke’ zero-day-fout in zijn platform exploiteerde om $3 miljoen aan digitale activa te stelen en weigerde deze terug te geven.
Details van het incident werden gedeeld door Kraken's Chief Security Officer, Nick Percoco, op X (voorheen Twitter), waarin stond dat het een Bug Bounty-programmawaarschuwing had ontvangen over een bug die “hen in staat stelde hun saldo op ons platform kunstmatig op te blazen” zonder enige andere informatie te delen. details
Het bedrijf zei dat het binnen enkele minuten na ontvangst van de waarschuwing een beveiligingsprobleem had geïdentificeerd waardoor een aanvaller in wezen “een storting op ons platform kon doen en geld op zijn rekening kon ontvangen zonder de storting volledig te voltooien.”
Hoewel Kraken benadrukte dat er geen risico bestond op activa van klanten, had het een bedreigingsacteur in staat kunnen stellen activa op hun rekeningen af te drukken. Het probleem werd binnen 47 minuten verholpen, aldus het bedrijf.
Er werd ook gezegd dat de fout voortkwam uit een recente wijziging in de gebruikersinterface waarmee klanten geld kunnen storten en gebruiken voordat ze worden goedgekeurd.
Bovendien bracht verder onderzoek het feit aan het licht dat drie accounts, waaronder één van de vermeende beveiligingsonderzoeker, binnen een paar dagen na elkaar de fout hadden uitgebuit en $ 3 miljoen hadden overgeheveld.
“Deze persoon ontdekte de bug in ons financieringssysteem en gebruikte deze om $4 aan crypto op hun rekening te storten”, aldus Percoco. “Dit zou voldoende zijn geweest om de fout te bewijzen, een bugbounty-rapport bij ons team in te dienen en een zeer aanzienlijke beloning te ontvangen onder de voorwaarden van ons programma.”
“In plaats daarvan maakte de 'beveiligingsonderzoeker' deze bug bekend aan twee andere personen met wie ze samenwerken, die op frauduleuze wijze veel grotere bedragen genereerden. Uiteindelijk haalden ze bijna $ 3 miljoen van hun Kraken-rekeningen op. Dit kwam uit de schatkisten van Kraken, niet uit andere activa van klanten.”
In een vreemde gang van zaken, toen ze door Kraken werden benaderd om hun proof-of-concept (PoC)-exploit te delen die werd gebruikt om de on-chain-activiteit te creëren en om de teruggave van het geld dat ze hadden opgenomen te regelen, eisten ze in plaats daarvan dat de bedrijf contact opnemen met hun bedrijfsontwikkelingsteam om een vast bedrag te betalen om de activa vrij te geven.
“Dit is geen white hat-hacking, het is afpersing”, zei Percoco, terwijl hij er bij de betrokken partijen op aandrong het gestolen geld terug te geven.
De naam van het bedrijf is niet bekendgemaakt, maar Kraken zei dat het de beveiligingsgebeurtenis als een strafzaak behandelt en dat het hierover overlegt met wetshandhavingsinstanties.
“Als beveiligingsonderzoeker wordt uw licentie om een bedrijf te 'hacken' mogelijk gemaakt door de eenvoudige regels te volgen van het bugbountyprogramma waaraan u deelneemt, 'merkte Percoco op. “Door deze regels te negeren en het bedrijf af te persen, wordt uw 'licentie om te hacken' ingetrokken. Het maakt jou en je bedrijf tot criminelen.”
