Kraken mengatakan peneliti keamanan pihak ketiga menemukan kerentanan, yang diperbaiki oleh pertukaran kripto.
Para peneliti diam-diam menarik hampir $3 juta dan menolak mengembalikannya tanpa melihat jumlah hadiahnya terlebih dahulu, kata Kraken.
Kraken mencatat bahwa pihaknya tidak akan memberikan hadiah kepada para peneliti karena mereka tidak mengikuti aturan program.
Pertukaran Crypto Kraken mengatakan "peneliti keamanan" yang menemukan kerentanan pada platform beralih ke "pemerasan" setelah menarik sekitar $3 juta dari kas bursa.
Nick Percoco, kepala petugas keamanan Kraken, mengatakan dalam sebuah posting di platform media sosial X (sebelumnya Twitter) bahwa perusahaan tersebut menerima peringatan "program bug bounty" dari seorang peneliti keamanan pada tanggal 9 Juni tentang kerentanan yang memungkinkan pengguna untuk meningkatkan saldo mereka secara artifisial. . Bug tersebut āmemungkinkan penyerang jahat, dalam kondisi yang tepat, untuk melakukan deposit ke platform kami dan menerima dana di akun mereka tanpa menyelesaikan deposit sepenuhnya,ā tambah Percoco.
Pembaruan Keamanan Kraken:Pada tanggal 9 Juni 2024, kami menerima peringatan program Bug Bounty dari peneliti keamanan. Awalnya tidak ada informasi spesifik yang diungkapkan, namun email mereka mengklaim menemukan bug āsangat kritisā yang memungkinkan mereka meningkatkan saldo mereka di platform kami secara artifisial.
ā Nick Percoco (@c7five) 19 Juni 2024
Setelah menerima laporan tersebut, Kraken segera memperbaiki masalah ini dan tidak ada dana pengguna yang terpengaruh, kata Percoco.
Apa yang terjadi setelahnya menimbulkan tanda bahaya bagi tim Kraken.
Peneliti keamanan, setelah menemukan bug tersebut, diduga mengungkapkannya kepada dua orang lainnya, yang kemudian "secara curang" menarik hampir $3 juta dari akun Kraken mereka. āIni berasal dari perbendaharaan Kraken, bukan aset klien lainnya,ā kata Percoco.
Laporan bug awal tidak menyebutkan transaksi dua individu lainnya, dan ketika Kraken menanyakan rincian lebih lanjut tentang aktivitas mereka, mereka menolak.
"Sebaliknya, mereka meminta panggilan telepon dengan tim pengembangan bisnis mereka (yaitu perwakilan penjualan mereka) dan belum setuju untuk mengembalikan dana apa pun sampai kami memberikan perkiraan jumlah $ yang mungkin ditimbulkan oleh bug ini jika mereka tidak mengungkapkannya. Ini bukan hal yang putih -topi peretasan, itu pemerasan!" tulis Percoco.
Program bug bounty ā yang digunakan oleh banyak perusahaan untuk memperkuat sistem keamanan mereka ā mengundang peretas pihak ketiga, yang dikenal sebagai "topi putih", untuk menemukan kerentanan sehingga perusahaan dapat memperbaikinya sebelum pihak jahat mengeksploitasinya. Pesaing Kraken, Coinbase, memiliki program serupa untuk membantu mengingatkan pertukaran akan kerentanan.
Untuk mendapatkan bayarannya, program Kraken memerlukan pihak ketiga untuk menemukan masalahnya, mengeksploitasi jumlah minimum yang diperlukan untuk membuktikan bug, mengembalikan aset dan memberikan rincian kerentanan, kata Kraken dalam sebuah posting blog, menambahkan bahwa sejak peneliti keamanan tidak mengikuti aturan ini, mereka tidak akan mendapatkan hadiahnya.
āKami melibatkan para peneliti ini dengan itikad baik dan, sejalan dengan satu dekade menjalankan program bug bounty, kami telah menawarkan hadiah yang cukup besar atas upaya mereka. Kami kecewa dengan pengalaman ini dan sekarang bekerja sama dengan lembaga penegak hukum untuk mengambil kembali data tersebut. aset dari peneliti keamanan ini," kata juru bicara Kraken kepada CoinDesk.
Baca selengkapnya: Proyek Kripto Anda Membutuhkan Sheriff, Bukan Pemburu Hadiah
