Explotan bug en el intercambio Kraken y roban $ 3 millones en criptomonedas

Iniciado por AXCESS, Junio 19, 2024, 11:17:18 PM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.

Imprimir
Ir Abajo Páginas1
Acciones del Usuario
Junio 19, 2024, 11:17:18 PM
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

El intercambio de cifrado Kraken reveló hoy que presuntos investigadores de seguridad explotaron un error de día cero en el sitio web para robar $3 millones en criptomonedas y luego se negaron a devolver los fondos.

El hack fue revelado por el director de seguridad de Kraken, Nick Percoco, en X, explicando que el equipo de seguridad del intercambio recibió un vago informe de error el 9 de junio sobre una vulnerabilidad "extremadamente crítica" que permitía a cualquiera aumentar artificialmente los saldos en una billetera Kraken.

Kraken dice que investigaron el informe y descubrieron un error (bug) que permitía a los atacantes iniciar depósitos y recibir los fondos, incluso si el depósito fallaba.

"En cuestión de minutos descubrimos un error aislado. Esto permitió que un atacante malicioso, en las circunstancias adecuadas, iniciara un depósito en nuestra plataforma y recibiera fondos en su cuenta sin completar el depósito", explicó Percoco.

"Para ser claros, los activos de ningún cliente estuvieron nunca en riesgo. Sin embargo, un atacante malicioso podría efectivamente imprimir activos en su cuenta Kraken durante un período de tiempo".

Percoco dice que el equipo de seguridad de Kraken solucionó la falla en una hora y descubrió que se debía a un cambio reciente en la interfaz de usuario que permite a los clientes depositar fondos y usarlos antes de que se aclaren.

Aquí es donde las cosas toman un giro extraño

Después de corregir el error, descubrieron que tres usuarios lo explotaron como un día cero para robar 3 millones de dólares de la tesorería de la bolsa.

Un miembro estaba vinculado a una persona que decía ser un investigador, que lo usó para depositar $4 en criptomonedas en su cuenta para probar el error.

Sin embargo, Percoco dice que el error fue revelado a otras dos personas asociadas con el investigador, quienes lo utilizaron para retirar $3 millones adicionales en fondos robados de sus cuentas Kraken.

Después de contactar al investigador sobre este retiro, Percoco dice que los investigadores se negaron a devolver la criptografía o compartir cualquier información sobre la vulnerabilidad como se esperaba en una divulgación de error.

"En cambio, exigieron una llamada a su equipo de desarrollo comercial (es decir, sus representantes de ventas) y no aceptaron devolver ningún fondo hasta que proporcionemos una cantidad especulada de dólares que este error podría haber causado si no lo hubieran revelado", afirmó Percoco.

"¡Esto no es un hackeo de sombrero blanco, es una extorsión!"

Percoco dice que Kraken no revela la identidad de los investigadores porque "no merecen reconocimiento por sus acciones".

Kraken ahora dice que tratan esto como un caso penal y han notificado a las autoridades.

BleepingComputer se comunicó con Kraken para obtener más información y actualizará la historia si recibimos una respuesta.

Fuente:
BleepingComputer
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
Imprimir
Ir Arriba Páginas1
Acciones del Usuario