I ricercatori di sicurezza rubano quasi 3 milioni di dollari in criptovalute da Kraken

L’exchange di criptovalute Kraken ha rivelato mercoledì che quasi 3 milioni di dollari in criptovalute sono stati rubati dai suoi portafogli a causa dell’exploitation di una vulnerabilità legata a un bug zero-day, che è stata ora risolta.

Nick Percoco, Chief Security Officer di Kraken, ha utilizzato la piattaforma di social media X (ex Twitter) per rivelare che hanno ricevuto un avviso dal “Bug Bounty Program” da un ricercatore di sicurezza il 9 giugno 2024, notificandoli di una vulnerabilità “estremamente critica” che consentiva a chiunque di aumentare artificialmente il valore del saldo del proprio account Kraken.

Indagando sul rapporto, Kraken ha trovato un bug isolato che consentiva agli attori malevoli, nelle giuste circostanze, di avviare un deposito sulla loro piattaforma e ricevere fondi nel proprio account, anche se il deposito falliva.

“Per essere chiari, nessun asset dei clienti è mai stato a rischio. Tuttavia, un attaccante malevolo potrebbe effettivamente stampare asset nel proprio account Kraken per un certo periodo di tempo,” ha spiegato Percoco.

Percoco afferma che il team di sicurezza di Kraken ha contrassegnato questa vulnerabilità come Critica e ha risolto il problema entro un’ora, prevenendo ulteriori perdite. Il team ha anche testato a fondo la soluzione per proteggere contro problemi simili in futuro.

“Il nostro team ha trovato un difetto derivante da un recente cambiamento dell’UX che avrebbe accreditato prontamente i conti dei clienti prima che i loro asset venissero liquidati - consentendo ai clienti di scambiare effettivamente nei mercati delle criptovalute in tempo reale. Questo cambiamento dell’UX non è stato testato a fondo contro questo specifico vettore di attacco,” ha aggiunto Percoco.

Dopo aver risolto il bug, il team di Kraken ha scoperto che tre account avevano già sfruttato il bug zero-day nel giro di pochi giorni, ritirando collettivamente quasi 3 milioni di dollari dal tesoro dell’exchange.

Aggiornamento sulla sicurezza di Kraken: Il 9 giugno 2024, abbiamo ricevuto un avviso dal programma Bug Bounty da un ricercatore di sicurezza. Inizialmente non sono stati divulgati dettagli specifici, ma la loro email affermava di aver trovato un bug “estremamente critico” che consentiva loro di gonfiare artificialmente il proprio saldo sulla nostra piattaforma. — Nick Percoco (@c7five) 19 giugno 2024

A seguito di ulteriori indagini, hanno scoperto che un account era collegato a un individuo che aveva completato il processo di verifica KYC di Kraken, affermando di essere un ricercatore di sicurezza. Questa persona ha inizialmente testato il bug e accreditato il proprio account con 4 dollari in criptovalute, che sarebbero stati sufficienti per dimostrare il difetto e ricevere una ricompensa attraverso il programma Bug Bounty di Kraken.

Tuttavia, Percoco afferma che il ‘ricercatore di sicurezza’ ha invece rivelato il bug zero-day a due altre persone associate al ricercatore, che hanno ritirato fraudolentemente ulteriori 3 milioni di dollari dai loro account Kraken. Ha sottolineato che questi fondi rubati provenivano dai tesori di Kraken e non da altri account dei clienti.

Poiché le transazioni delle due altre persone non erano state completamente divulgate nel rapporto iniziale del Bug Bounty, il team di Kraken ha contattato il ricercatore per ulteriori dettagli sulle loro attività. Tuttavia, Percoco afferma che i ricercatori hanno rifiutato di restituire le criptovalute o di condividere qualsiasi informazione riguardante il difetto, che è una pratica comune per qualsiasi programma Bug Bounty.

“Invece, hanno richiesto una chiamata con il loro team di sviluppo commerciale (cioè i loro rappresentanti di vendita) e non hanno accettato di restituire alcun fondo fino a quando non forniremo un importo speculato $ che questo bug potrebbe aver causato se non fosse stato divulgato. Questo non è hacking etico, è estorsione!” ha affermato Percoco.

La risposta di Kraken all’incidente è stata trasparente. Percoco ha evidenziato l’importanza del comportamento etico nella comunità della cybersecurity, dicendo: “Come ricercatore di sicurezza, la tua licenza per ‘hackerare’ un’azienda è abilitata seguendo le semplici regole del programma di bug bounty a cui partecipi. Ignorare quelle regole ed estorcere l’azienda revoca la tua ‘licenza per hackerare’.”

Percoco afferma che Kraken non sta rivelando le identità dei ricercatori poiché “non meritano riconoscimenti per le loro azioni.” Inoltre, Kraken sta ora trattando questo caso come una questione criminale e coordinandosi con le forze dell’ordine per recuperare i fondi rubati.

“Abbiamo coinvolto questi ricercatori in buona fede e, in linea con un decennio di gestione di un programma di bug bounty, avevamo offerto una ricompensa sostanziosa per i loro sforzi. Siamo delusi da questa esperienza e ora stiamo lavorando con le forze dell’ordine per recuperare gli asset da questi ricercatori di sicurezza,” ha dichiarato un portavoce di Kraken in una dichiarazione.