Kraken Reveals Bug Allowed Rogue ‘security Researchers’ to Exploit $3M

Cryptopolitan · 2024-06-19T16:33:04.000Z

US-based exchange Kraken lost almost $3 million in its treasury after an unnamed security company exploited a bug on its platform. The chief security officer, Nick Percoco, disclosed this in a post on X, stating that the security firm has refused to return the funds and is now demanding a higher payout as a bounty. Also Read: Crypto Exchange DMM Bitcoin Vows To Repay Users After $300M Hack In response, Kraken has escalated the matter to law enforcement agencies and will treat it as criminal. However, users do not have to worry, as the exchange claims it has already resolved the vulnerability, and no user account has been impacted. Kraken bug allows money printing According to Percoco, a security researcher alerted Kraken about a critical bug via its Bug Bounty program on June 9. Upon internal investigations, the exchange security team discovered a vulnerability that could allow a bad actor to initiate a deposit into their Kraken account and receive the funds without completing the deposit. A malicious attacker could print millions out of thin air through this exploit. He explained: “We discovered an isolated bug. This allowed a malicious attacker, under the right circumstances, to initiate a deposit onto our platform and receive funds in their account without fully completing the deposit.” The internal security team mitigated the issue within 47 minutes and fixed it completely after a few hours. However, the firm discovered that the bug resulted from a recent change in its UX that allowed client accounts to be credited before their assets cleared. Although the change was integrated to enable instant trading, it was not fully tested against this type of risk. However, Percoco added that the incident did not affect users’ assets, and the exploits of the vulnerability only affected the Kraken treasury. The security researchers are criminals Meanwhile, an analysis of the vulnerability found that three accounts exploited the flaw, and one of those accounts was registered under the name of the security researcher who initially contacted the exchange. Also Read: Kraken Considers Delisting USDT in Response to New EU Regulations While the researcher’s account only used the flaw to credit themselves $4, enough to prove the bug was real, the two other accounts withdrew almost $3 million from their Kraken accounts using the same exploit. Interestingly, these accounts were associated with associates of the security researcher. Kraken explained that its attempts to get the funds returned have been futile as the researchers are now asking for a higher payment that they believe is commensurate with the risk of the bug. Percoco described this as an act of extortion, which contradicts the principle behind the Bug Bounty program. He added that violating those rules that give white hat hackers the license to hack makes the security researchers criminals, and the exchange is treating them as such.

Bursa Kraken yang berbasis di AS kehilangan hampir $3 juta dalam perbendaharaannya setelah sebuah perusahaan keamanan yang tidak disebutkan namanya mengeksploitasi bug pada platformnya. Kepala petugas keamanan, Nick Percoco, mengungkapkan hal ini dalam sebuah postingan di X, menyatakan bahwa perusahaan keamanan telah menolak mengembalikan dana tersebut dan sekarang menuntut pembayaran yang lebih tinggi sebagai hadiah.
Baca Juga: Crypto Exchange DMM Bitcoin Bersumpah Untuk Membayar Pengguna Setelah Peretasan $300 Juta
Sebagai tanggapan, Kraken telah meneruskan masalah ini ke lembaga penegak hukum dan akan menganggapnya sebagai tindak pidana. Namun, pengguna tidak perlu khawatir, karena bursa mengklaim telah mengatasi kerentanan tersebut, dan tidak ada akun pengguna yang terkena dampak.
Bug Kraken memungkinkan pencetakan uang
Menurut Percoco, seorang peneliti keamanan memberi tahu Kraken tentang bug kritis melalui program Bug Bounty pada tanggal 9 Juni. Setelah penyelidikan internal, tim keamanan bursa menemukan kerentanan yang memungkinkan pelaku kejahatan melakukan deposit ke akun Kraken mereka dan menerima dana tanpa menyelesaikan deposit. Penyerang jahat dapat mencetak jutaan dolar melalui eksploitasi ini.
Dia menjelaskan:
“Kami menemukan bug yang terisolasi. Hal ini memungkinkan penyerang jahat, dalam situasi yang tepat, untuk melakukan deposit ke platform kami dan menerima dana di akun mereka tanpa menyelesaikan deposit sepenuhnya.”
Tim keamanan internal mengatasi masalah ini dalam waktu 47 menit dan memperbaikinya sepenuhnya setelah beberapa jam. Namun, perusahaan tersebut menemukan bahwa bug tersebut disebabkan oleh perubahan terbaru pada UX-nya yang memungkinkan akun klien dikreditkan sebelum aset mereka dibersihkan. Meskipun perubahan tersebut diintegrasikan untuk memungkinkan perdagangan instan, perubahan tersebut belum sepenuhnya diuji terhadap jenis risiko ini.
Namun, Percoco menambahkan bahwa insiden tersebut tidak berdampak pada aset pengguna, dan eksploitasi kerentanan hanya berdampak pada perbendaharaan Kraken.
Peneliti keamanan adalah penjahat
Sementara itu, analisis kerentanan menemukan bahwa tiga akun mengeksploitasi kelemahan tersebut, dan salah satu akun tersebut terdaftar atas nama peneliti keamanan yang pertama kali menghubungi bursa.
Baca Juga: Kraken Pertimbangkan Menghapus USDT sebagai Respons terhadap Peraturan Baru UE
Meskipun akun peneliti hanya menggunakan kelemahan tersebut untuk mengkredit dirinya sendiri sebesar $4, cukup untuk membuktikan bahwa bug tersebut nyata, dua akun lainnya menarik hampir $3 juta dari akun Kraken mereka menggunakan eksploitasi yang sama. Menariknya, akun-akun ini dikaitkan dengan rekan peneliti keamanan.
Kraken menjelaskan bahwa upayanya untuk mendapatkan kembali dana tersebut sia-sia karena para peneliti kini meminta pembayaran lebih tinggi yang mereka yakini sepadan dengan risiko bug tersebut.
Percoco menggambarkan hal ini sebagai tindakan pemerasan, yang bertentangan dengan prinsip di balik program Bug Bounty. Dia menambahkan bahwa pelanggaran aturan yang memberikan izin kepada peretas topi putih untuk melakukan peretasan menjadikan peneliti keamanan sebagai penjahat, dan bursa memperlakukan mereka seperti itu.

Kraken Mengungkapkan Bug yang Memungkinkan 'Peneliti Keamanan' Nakal Mengeksploitasi $3M

Jelajahi Konten Lainnya dari Kreator

Berita Terbaru

Kraken Mengungkapkan Bug yang Memungkinkan 'Peneliti Keamanan' Nakal Mengeksploitasi $3M

Jelajahi Konten Lainnya dari Kreator

Berita Terbaru

Artikel yang Sedang Tren