Kraken, bursa mata uang kripto, baru-baru ini melaporkan pencurian hampir $3 juta dari akunnya karena bug kritis. Masalah ini, yang berasal dari kelemahan yang diperkenalkan dalam pembaruan pengalaman pengguna baru-baru ini, memungkinkan penyerang untuk mengkredit akun mereka sebelum deposit mereka diselesaikan sepenuhnya.
Penemuan Bug
Kerentanan ini diberi label memungkinkan pengguna jahat untuk “mencetak aset” untuk jangka waktu sementara. Pelanggaran keamanan dapat diatasi dalam beberapa jam setelah ditemukan, seperti yang dinyatakan oleh Chief Security Officer Kraken, Nick Percoco.
Bug ini pertama kali dilaporkan ke Kraken melalui program bug bounty pada tanggal 9 Juni. Meskipun laporan awal tidak memiliki informasi rinci, hal ini mendorong penyelidikan segera oleh Kraken.
Penyelidikan ini mengungkap sebuah insiden tersendiri di mana pihak jahat dapat melakukan setoran yang tidak lengkap untuk menerima dana secara curang. Percoco mengklarifikasi bahwa kerentanan terjadi dalam kondisi tertentu dan tidak membahayakan aset klien secara langsung.
Kraken mengungkapkan itu dieksploitasi di X
Penyelidikan selanjutnya terhadap integritas sistem mengungkapkan bahwa kerentanan telah dieksploitasi oleh tiga akun terpisah sesaat sebelum bug tersebut dilaporkan secara resmi. Rekening-rekening ini berhasil menyedot sejumlah besar uang dalam serangkaian transaksi yang kebetulan terjadi selama beberapa hari.
Percoco mengungkapkan bahwa individu yang melaporkan bug tersebut awalnya menguji kelemahan tersebut dengan mengkredit akun mereka sendiri sebesar $4, yang dimaksudkan untuk menunjukkan keberadaan bug dan mendapatkan hadiah melalui program bug bounty.
Namun, belakangan diketahui bahwa individu tersebut telah membagikan rincian kerentanan tersebut kepada dua rekannya alih-alih merahasiakannya. Para kolaborator ini kemudian menarik total hampir $3 juta dari Kraken, langsung dari cadangan perusahaan.
Percoco menegaskan, dana tersebut bukan berasal dari rekening klien lain. Menanggapi kejadian ini, Kraken menuntut penjelasan lengkap atas aktivitas mereka dan pengembalian dana yang dicuri.
Namun, pihak-pihak yang dituduh telah menahan dana tersebut, menuntut Kraken terlebih dahulu mengungkapkan potensi eksploitasi jika hal itu tetap dirahasiakan.
Tanggapan dan Tindakan Hukum Kraken
Situasi ini meningkat ketika para peneliti menyebut permintaan pengembalian dana Kraken sebagai “tidak masuk akal” dan “tidak profesional.”
Akibatnya, Kraken memilih untuk tidak secara terbuka mengidentifikasi perusahaan riset yang terlibat, dengan alasan pelanggaran ketentuan bug bounty dan menganggap tindakan mereka tidak hanya tidak etis tetapi juga kriminal.
Pertukaran tersebut sekarang berkoordinasi dengan penegak hukum untuk menangani masalah ini sebagai kasus pidana, menolak pengakuan apa pun terhadap perusahaan yang terlibat karena tindakan mereka.
Peristiwa malang di Kraken ini menambah lanskap kerentanan aset digital yang lebih luas, dengan peretasan kripto yang akan meningkat pada tahun 2024.
Perincian Kerugian Kripto berdasarkan Kerentanan
Menurut “Laporan Crypto HackHub 2024” dari Merkle Science, pada kuartal pertama tahun 2024 saja para peretas mencuri aset digital senilai $542,7 juta, menandai peningkatan 42% dari periode yang sama pada tahun 2023.
Industri ini telah mencatat perubahan dalam sifat pelanggaran keamanan ini, dengan kebocoran kunci pribadi kini mengambil alih eksploitasi kontrak pintar sebagai penyebab utamanya. Tren ini sangat kontras dengan tahun-tahun sebelumnya, di mana kerentanan dalam kontrak pintar lebih dominan.
Laporan tersebut juga menyoroti penurunan kerugian yang signifikan akibat kerentanan kontrak pintar, yang turun 92% menjadi $179 juta pada tahun 2023, turun dari $2,6 miliar pada tahun 2022. Meskipun demikian, lebih dari 55% aset digital yang diretas pada tahun 2023 dikaitkan dengan kunci pribadi. kebocoran, menggarisbawahi tantangan keamanan yang terus-menerus dalam sektor mata uang kripto.
Selama 13 tahun terakhir, industri ini telah menghadapi 785 laporan peretasan dan eksploitasi, dengan kerugian hampir $19 miliar, yang menunjukkan adanya kebutuhan penting untuk meningkatkan langkah-langkah keamanan secara menyeluruh.
Pos Peretas Mengeksploitasi Bug Kraken, Mencuri Hampir $3 Juta muncul pertama kali di Coinfomania.
