Kepala petugas keamanan Kraken mengungkapkan bahwa bug dalam sistem pendanaan bursa menyebabkan kerugian $3 juta setelah dieksploitasi oleh peneliti keamanan jahat.
Pertukaran kripto Amerika, Kraken, kehilangan kripto senilai sekitar $3 juta pada awal Juni setelah seorang “peneliti keamanan” nakal mengeksploitasi bug dalam sistem pendanaan bursa. Kepala petugas keamanan Kraken, Nick Percoco mengungkapkan insiden tersebut di thread X, menekankan pelanggaran standar etika oleh individu yang terlibat.
Setiap hari kami menerima laporan bug bounty palsu dari orang-orang yang mengaku sebagai “peneliti keamanan”. Ini bukanlah hal baru bagi siapa pun yang menjalankan program bug bounty. Namun, kami menangani masalah ini dengan serius dan segera membentuk tim lintas fungsi untuk menyelidiki masalah ini. Inilah yang kami temukan.
— Nick Percoco (@c7five) 19 Juni 2024
Menurut Percoco, tim pertama kali menerima pemberitahuan dari “peneliti keamanan” tentang potensi bug pada 9 Juni. Kemudian, tim menemukan “kekurangan yang berasal dari perubahan UX baru-baru ini” yang memungkinkan akun klien kredit sebelum aset mereka diselesaikan, memungkinkan klien untuk memperdagangkan pasar kripto secara efektif secara real-time. CSO Kraken mengakui bahwa bursa tersebut tidak menguji perubahan UX terhadap vektor serangan spesifik tersebut sebelum serangan terjadi.
“Perubahan UX ini tidak diuji secara menyeluruh terhadap vektor serangan spesifik ini,” tulis Percoco.
Anda mungkin juga menyukai: Kraken kembali meminta untuk menolak gugatan SEC, dengan mengutip kata-kata yang salah
Setelah memperbaiki kerentanan, Kraken menemukan bahwa tiga akun sebelumnya telah mengeksploitasi kelemahan yang sama dalam waktu beberapa hari satu sama lain. Alih-alih melaporkan bug tersebut secara langsung, peneliti keamanan tersebut diduga membagikan informasi tersebut kepada dua rekannya, kata Percoco, seraya menambahkan bahwa individu tak dikenal tersebut akhirnya menarik hampir $3 juta dari perbendaharaan Kraken.
Percoco menekankan bahwa laporan awal dari “peneliti keamanan” tidak sepenuhnya mengungkap bug tersebut, sehingga tim harus mengonfirmasi ulang beberapa detail agar dapat maju dan memberikan penghargaan kepada mereka karena berhasil mengidentifikasi kelemahan keamanan.
Kraken meminta penjelasan lengkap tentang aktivitas mereka, bukti konsep, dan pengembalian dana yang ditarik. Namun, individu-individu tersebut menolak untuk mematuhinya, yang oleh Percoco digambarkan sebagai “bukan peretasan topi putih” melainkan “pemerasan.” Masih belum jelas apakah Kraken mengidentifikasi semua penyerang atau berhasil mendapatkan kembali dana yang dicuri.
Baca selengkapnya: Pertukaran Crypto Kraken mengincar kenaikan $100 juta sebelum IPO
