Kraken afferma che gli hacker si sono rivolti all'"estorsione" dopo aver sfruttato un bug per 3 milioni di dollari

• Kraken ha affermato che i ricercatori di sicurezza terzi hanno trovato una vulnerabilità, che è stata risolta dall'exchange Cripto .
• I ricercatori hanno prelevato segretamente quasi 3 milioni di dollari e si sono rifiutati di restituirli senza prima vedere l'importo della ricompensa, ha affermato Kraken.
• L'editor di codice blockchain Certik ha affermato di aver trovato una vulnerabilità nella piattaforma Kraken e afferma di essere stato "minacciato" dall'exchange.

L'exchange Cripto Kraken ha affermato che i "ricercatori della sicurezza" che hanno scoperto una vulnerabilità sulla piattaforma hanno fatto ricorso a "estorsione" dopo aver prelevato circa 3 milioni di dollari dalla tesoreria dell'exchange.

Nick Percoco, responsabile della sicurezza di Kraken, ha dichiarato in un post sulla piattaforma di social media X (ex Twitter) che l'azienda ha ricevuto un avviso di "bug bounty program" da un ricercatore di sicurezza il 9 giugno su una vulnerabilità che consente agli utenti di gonfiare artificialmente il proprio saldo. Il bug "ha consentito a un aggressore malintenzionato, nelle giuste circostanze, di avviare un deposito sulla nostra piattaforma e ricevere fondi sul proprio account senza completare completamente il deposito", ha aggiunto Percoco.

Dopo aver ricevuto la segnalazione, Kraken ha risolto rapidamente il problema senza che i fondi degli utenti ne siano stati influenzati, ha fatto notare Percoco.

Ciò che accadde dopo fece scattare un campanello d'allarme per la squadra di Kraken.

Il ricercatore di sicurezza, dopo aver trovato il bug, lo avrebbe presumibilmente rivelato ad altri due individui, che poi avrebbero "fraudolentamente" prelevato quasi 3 milioni di $ dai loro conti Kraken. "Si trattava delle tesorerie di Kraken, non di altri asset dei clienti", ha affermato Percoco.

La segnalazione iniziale del bug T menzionava le transazioni degli altri due individui e quando Kraken chiese maggiori dettagli sulle loro attività, loro rifiutarono.

"Invece, hanno preteso una chiamata con il loro team di sviluppo aziendale (vale a dire i loro rappresentanti di vendita) e non hanno accettato di restituire alcun fondo finché non avessimo fornito un importo ipotizzato in $ che questo bug avrebbe potuto causare se non lo avessero rivelato. Questo non è hacking white-hat, è estorsione!" ha scritto Percoco.

Kraken T ha rivelato chi fossero i ricercatori, ma l'editore del codice blockchain Certik ha successivamente affermato in un post sui social media di aver trovato diverse vulnerabilità nello scambio Cripto .

Certik ha affermato di aver condotto "test di più giorni" e ha osservato che il bug potrebbe essere sfruttato per creare Cripto del valore di milioni di dollari. "Milioni di dollari possono essere depositati su QUALSIASI account Kraken. Un'enorme quantità di Cripto fabbricate (del valore di oltre 1 milione di USD) può essere prelevata dall'account e convertita in criptovalute valide. Peggio ancora, non sono stati attivati ​​avvisi durante il periodo di test di più giorni", ha affermato il post.

Tuttavia, Certik ha detto che le cose sono andate male dopo la conversazione iniziale con Kraken. "Il team operativo di sicurezza di Kraken ha MINACCIATO singoli dipendenti CertiK di rimborsare una quantità NON CORRETTA di Cripto in un tempo IRRAGIONEVOLE anche SENZA fornire indirizzi di rimborso", ha aggiunto il post di X.

I programmi bug bounty, utilizzati da molte aziende per rafforzare i propri sistemi di sicurezza, invitano hacker terzi, noti come "white hat", a trovare vulnerabilità in modo che l'azienda possa risolverle prima che un malintenzionato le sfrutti. Il concorrente di Kraken, Coinbase, ha unprogramma simileper aiutare a segnalare lo scambio di vulnerabilità.

Per ricevere la ricompensa, il programma di Kraken richiede che una terza parte trovi il problema, sfrutti la quantità minima necessaria per dimostrare il bug, restituisca le risorse e fornisca i dettagli della vulnerabilità, ha affermato Kraken in unpost del blog, aggiungendo che poiché i ricercatori della sicurezza T hanno Seguici queste regole, T riceveranno la ricompensa.

"Abbiamo coinvolto questi ricercatori in buona fede e, in linea con un decennio di gestione di un programma bug bounty, abbiamo offerto una ricompensa considerevole per i loro sforzi. Siamo delusi da questa esperienza e ora stiamo lavorando con le forze dell'ordine per recuperare le risorse da questi ricercatori di sicurezza", ha detto un portavoce di Kraken a CoinDesk.

Continua a leggere: Il tuo progetto Cripto ha bisogno di uno sceriffo, non di un cacciatore di taglie

AGGIORNAMENTO (19 giugno, 18:30 UTC):Aggiorna la storia aggiungendo i commenti di Certik.