Una vulnerabilidad crítica de 0day fue eliminada en solo 47 minutos, pero ya era demasiado tarde.
La popular casa de cambio de criptomonedas Kraken informó sobre el robo de $3 millones debido a una vulnerabilidad crítica de día cero que fue descubierta por un investigador de seguridad anónimo y que él mismo aprovechó en silencio. Nick Percoco, director jefe de seguridad de Kraken, explicó que la vulnerabilidad permitió al investigador poco ético aumentar artificialmente su saldo en la plataforma.
La empresa detectó rápidamente la actividad fraudulenta que permitía iniciar un depósito y recibir fondos sin completarlo por completo. A pesar de que los activos de los clientes no se vieron afectados, el problema podría haber permitido al atacante crear nuevos activos en sus cuentas.
Según los informes, el problema surgió por un cambio reciente en la interfaz que permitía a los clientes usar los fondos depositados antes de que se liquidaran por completo. La investigación mostró que tres usuarios, incluido el investigador en cuestión, aprovecharon la vulnerabilidad. Y se resolvió en un récord de 47 minutos.
Percoco aclaró que el investigador mencionado anteriormente fue el primero en descubrir el error y lo usó para acreditar $4 en su cuenta. Podría haberlo reportado a través del programa de recompensas y recibir un pago sustancial, pero en su lugar decidió compartir su hallazgo con otras dos personas que generaron sumas mucho mayores y retiraron de la casa de cambio casi 3 millones de dólares.
Cuando Kraken les pidió que devolvieran los fondos robados, los delincuentes exigieron ponerse en contacto con su equipo para pagar un rescate. La empresa consideró este paso como un intento de extorsión, por lo que está tratando el incidente como un caso criminal y cooperando con las autoridades policiales.
Percoco enfatizó que los investigadores de seguridad deben seguir las reglas del programa de recompensas, de lo contrario, sus acciones se vuelven ilegales y están sujetas a un castigo justo dentro del marco de la ley.