Pos Crypto Exchange Kraken Kehilangan $3 Juta karena Kelemahan Keamanan yang Dieksploitasi muncul pertama kali di Coinpedia Fintech News

Platform perdagangan kripto terkemuka di dunia, Kraken baru-baru ini mengakui bahwa mereka menjadi korban serangan yang berhasil memanfaatkan kerentanan zero-day untuk mencuri kripto senilai jutaan.

Eksploitasi terungkap

Kraken mendapat email dari peneliti Bug Bounty pada tanggal 9 Juni 2024, yang memperingatkannya tentang kerentanan serius dalam jaringan. Cacat tersebut memungkinkan penyerang memanipulasi angka neraca di situs ke tingkat yang tidak didukung oleh dana sebenarnya seperti yang dijelaskan oleh Chief Security Officer Kraken, Nick Percoco. 

Kerentanan kritis ini memungkinkan penyerang untuk melakukan penyetoran dan penarikan uang di akun mereka sambil belum menyelesaikan proses penyetoran.

Respons Cepat tetapi tidak cukup cepat

Kraken mampu merespons peringatan tersebut dan menghilangkan masalah keamanan dalam waktu 47 menit. Masalahnya ditelusuri ke antarmuka pengguna baru yang diperkenalkan beberapa waktu lalu yang memungkinkan pelanggan melakukan penyetoran dan menggunakan uangnya sebelum simpanan tersebut diidentifikasi oleh lembaga kliring, jika pernah. 

Meskipun Kraken menyatakan bahwa tidak ada uang tunai klien yang hilang selama penyusupan, bug tersebut memungkinkan orang-orang dengan niat buruk untuk menyetor dan menarik uang tunai palsu.

Dalam kasus ini, tiga akun mulai mencoba langkah yang sama dalam waktu seminggu dan semuanya mencoba mentransfer $3 juta dari bursa. Dari jumlah tersebut, satu akun dimiliki oleh peneliti keamanan yang baru-baru ini melaporkan bug ini.

Mengenai kerentanan pertama yang teridentifikasi, Percoco berkomentar bahwa seseorang yang ingin mengeksploitasinya menginvestasikan $4 dalam kripto untuk mengilustrasikan masalahnya dan itu mungkin cukup untuk laporan bug bounty dan hadiah selanjutnya. Namun, peneliti memutuskan untuk memberikan rincian bug tersebut kepada dua peserta lainnya, secara kolektif, yang mampu mencuri hampir $3 juta dari perbendaharaan Kraken.

Dilema etika atau pemerasan?

Ketika Kraken mendekati individu tersebut untuk mengembalikan dana yang dicuri dan memberikan eksploitasi bukti konsep (PoC), para peneliti meminta pembayaran sebagai imbalan atas pengembalian aset tersebut. Percoco mengutuk perilaku ini sebagai pemerasan dan menekankan bahwa tindakan tersebut melanggar prinsip etika peretasan topi putih.

Kraken menganggap insiden tersebut sebagai kasus pidana dan berkoordinasi dengan lembaga penegak hukum

Baca Juga : MENGEJUTKAN: Penipuan “Pembantaian Babi” Kripto Meningkat! Yang Harus Anda Ketahui