Ketika Nick Percoco, kepala petugas keamanan Kraken, mengetahui bahwa pertukaran tersebut telah diretas sebesar $3 juta bulan lalu, dia terbang di ketinggian 40,000 kaki dalam perjalanan menuju liburan yang layak.
Namun alih-alih bersantai di Jepang, Percoco harus terjun ke dalam pelanggaran tersebut dan membantu mengelola salah satu krisis keamanan terburuk yang menyerang bursa kripto terbesar ketujuh di dunia.
“Saya kebetulan mendapatkan akses Wi-Fi di penerbangan,” kata Percoco kepada DL News. “Saya melakukan komunikasi di menit-menit terakhir dengan orang-orang di tempat kerja, membaca berita, di Twitter. Dan melihatnya, lalu mengarahkan mereka ke bug bounty.”
Pada 19 Juni, Kraken mengungkapkan bahwa peneliti keamanan independen melaporkan kerentanan kritis terhadap program bug bounty bursa.
Program-program ini menawarkan uang kepada penyerang sebagai imbalan untuk mengidentifikasi kerentanan dalam proyek.
Kelemahan khusus ini memungkinkan peneliti untuk mengkredit rekening Kraken mereka dengan uang sesuka hati. Detektif tersebut bekerja untuk CertiK, perusahaan audit keamanan dan kripto, yang mengatakan telah mengidentifikasi kerentanan ini.
Selama lima hari, CertiK menarik $3 juta mata uang kripto dari bursa, kata Percoco.
Hal ini sangat tidak biasa. Perusahaan keamanan tidak seharusnya mengeksploitasi kerentanan untuk jangka waktu yang lama dan menghabiskan banyak uang, kata Percoco.
Dana tersebut akhirnya dikembalikan, dan bug diperbaiki dalam 47 menit. Namun, itu adalah episode yang mengejutkan, bahkan menurut standar kripto.
Itu adalah pelanggaran besar-besaran terhadap salah satu bursa paling mapan di industri ini. Didirikan pada tahun 2011, kebangkitan Kraken identik dengan pelembagaan Bitcoin.
Pada bulan Januari, 11 ETF Bitcoin spot berbeda telah disetujui. Beberapa bulan kemudian, Kraken mengumpulkan dana menjelang kemungkinan penawaran umum perdana.
Eksploitasinya juga aneh. CertiK, sebuah bisnis yang dibangun dengan kode pengamanan untuk kripto, tampaknya melanggar hampir semua standar industri mengenai bug bounty. Mereka bahkan berusaha melakukan panggilan penjualan dengan tim keamanan Kraken selama bencana terjadi.
CertiK tidak segera menanggapi permintaan komentar DL News.
Dalam sebuah tweet, Percoco mengatakan CertiK memeras pertukaran tersebut daripada melakukan peretasan topi putih.
Aturan dasar
Program bug bounty adalah hal biasa di industri kripto dan teknologi.
Proyek kripto mana pun yang bernilai kodenya menyisihkan uang tunai untuk beberapa audit kontrak cerdasnya dan sejumlah uang lainnya untuk memberi penghargaan kepada peretas yang licik – namun etis – yang mengidentifikasi bug.
Bulan lalu, seorang peneliti memperoleh $2 juta karena mengidentifikasi bug di jaringan lapisan 1 Sei. Kraken membayar hingga $1,5 juta untuk bug kritis seperti yang terjadi baru-baru ini.
Percoco, seorang peneliti keamanan sejak akhir tahun 90an, mengatakan program Kraken telah ada selama satu dekade. Kotak masuknya dipenuhi dengan eksploitasi palsu dari orang-orang yang mencari pembayaran cepat.
Ia bahkan menganggap laporan CertiK palsu.
“Hubungannya adalah 'Anda perlu menghubungi kami sesegera mungkin', dan tidak ada informasi kontak. Saya bahkan tidak bisa mengirim pesan langsung,” katanya. “Agak dipertanyakan apakah ini seseorang yang mencoba menipu kami.”
bendera merah
Meski begitu, tim beranggotakan lima orang yang memantau kotak masuk tersebut siang dan malam harus menyisir setiap laporan. Dengan Kraken menghasilkan lebih dari $1 miliar volume perdagangan harian, ada banyak hal yang dipertaruhkan.
Kurangnya informasi kontak bukanlah satu-satunya tanda bahaya, kata Percoco.
Pengumpul hadiah harus mengikuti empat aturan untuk melaporkan bug. Pertama, mereka harus melaporkan bug tersebut kepada perusahaan segera setelah mereka mengidentifikasinya.
Kedua, pengumpul hadiah harus membuktikan bahwa mereka dapat mengeksploitasi bug tersebut. Ketiga, ketika memberikan bukti, mereka hanya boleh mengambil uang secukupnya untuk membuktikan kerentanannya.
Dan terakhir, mereka harus melibatkan perusahaan untuk menguji ulang eksploitasi tersebut dan melihat apakah perusahaan berhasil memperbaikinya.
CertiK mengambil pendekatan berbeda, melanggar keempat aturan, menurut Percoco.
Kripto mengalami kesulitan
Dengan hadirnya BlackRock dan Fidelity, keamanan dan bug bounty menjadi sorotan. Namun tidak seperti industri lain, yang praktik terbaiknya berlangsung bertahun-tahun, dalam kripto, praktik terbaiknya mungkin hanya bertahan beberapa hari.
Perusahaan masih mengeluarkan uang untuk program bug bounty meskipun ada insiden baru-baru ini.
Menurut platform hadiah bug HackerOne, pertukaran kripto Crypto.com menawarkan $80,000 untuk bug kritis. Layanan penitipan Fireblocks memberikan hadiah sebesar $250.000 untuk kerentanan serupa.
Bahkan Coinbase yang terdaftar secara publik akan membayar $1 juta, jika Anda dapat masuk ke bursa.
Bug bounty merupakan jaring pengaman yang mahal dan terkadang rumit, namun dengan $664 juta yang telah dicuri tahun ini, hal tersebut jelas masih diperlukan.
Liam Kelly adalah koresponden DeFi di DL News. Hubungi liam@dlnews.com.
