TLDR

  • Kraken menemukan bug yang memungkinkan pengguna meningkatkan saldo dan menarik dana secara artifisial tanpa menyelesaikan penyetoran.

  • CertiK, sebuah perusahaan keamanan blockchain, mengidentifikasi dirinya sebagai “peneliti keamanan” yang mengeksploitasi bug tersebut dan menarik hampir $3 juta dari perbendaharaan Kraken.

  • Kraken mengklaim CertiK menolak mengembalikan dana tersebut sampai bursa memberikan perkiraan potensi kerugian, menyebutnya sebagai “pemerasan.”

  • CertiK membela tindakannya, dengan menyatakan bahwa mereka sedang menguji cakupan kerentanan dan bahwa Kraken telah mengancam karyawannya untuk mengembalikan sejumlah dana yang tidak sesuai dalam jangka waktu yang tidak masuk akal.

  • Insiden ini telah memicu perdebatan tentang etika peretasan topi putih dan program bug bounty di industri mata uang kripto.

Pertukaran Cryptocurrency Kraken baru-baru ini mengungkapkan bahwa mereka telah menjadi korban kerentanan keamanan yang memungkinkan pengguna untuk secara artifisial meningkatkan saldo akun mereka dan menarik dana tanpa menyelesaikan setoran sepenuhnya. Pertukaran tersebut melaporkan bahwa hampir $3 juta dicuri dari perbendaharaannya sebagai akibat dari eksploitasi tersebut.

Perusahaan keamanan Blockchain CertiK maju dan mengidentifikasi dirinya sebagai “peneliti keamanan” yang bertanggung jawab untuk mengeksploitasi bug dan menarik dana.

Chief Security Officer Kraken, Nick Percoco, sebelumnya menuduh tim keamanan yang saat itu tidak disebutkan namanya melakukan “pemerasan” karena menolak mengembalikan dana sampai bursa memberikan perkiraan potensi kerugian jika bug tersebut tetap dirahasiakan.

Pembaruan Keamanan Kraken:

Pada tanggal 9 Juni 2024, kami menerima peringatan program Bug Bounty dari peneliti keamanan. Awalnya tidak ada informasi spesifik yang diungkapkan, namun email mereka mengklaim menemukan bug “sangat kritis” yang memungkinkan mereka meningkatkan saldo mereka di platform kami secara artifisial.

— Nick Percoco (@c7five) 19 Juni 2024

Namun, CertiK membela tindakannya, mengklaim bahwa mereka telah menguji cakupan kerentanan dan bahwa Kraken telah mengancam karyawannya untuk mengembalikan sejumlah dana yang tidak sesuai dalam jangka waktu yang tidak wajar, bahkan tanpa memberikan alamat pembayaran.

CertiK baru-baru ini mengidentifikasi serangkaian kerentanan kritis di bursa @krakenfx yang berpotensi menyebabkan kerugian ratusan juta dolar.

Berawal dari temuan pada sistem deposit @krakenfx yang mungkin gagal membedakan internal yang berbeda… pic.twitter.com/JZkMXj2ZCD

— CertiK (@CertiK) 19 Juni 2024

Perusahaan keamanan tersebut memberikan kronologi kejadian, merinci interaksinya dengan Kraken dan penemuan eksploitasi tersebut.

Menurut CertiK, kerentanan tersebut memungkinkan jutaan dolar disimpan ke akun Kraken mana pun, dengan kemampuan untuk menarik dan mengubah kripto yang dibuat menjadi mata uang kripto yang valid.

Perusahaan tersebut juga mengklaim bahwa tidak ada peringatan yang dipicu selama periode pengujian multi-hari, dan Kraken hanya merespons dan mengunci akun pengujian beberapa hari setelah pengungkapan awal.

Insiden ini telah memicu perdebatan tentang etika peretasan topi putih dan efektivitas program bug bounty.

Meskipun beberapa pihak berpendapat bahwa tindakan CertiK dibenarkan demi kepentingan pengujian kerentanan secara menyeluruh, pihak lain berpendapat bahwa perusahaan tersebut telah melewati batas dengan menarik sejumlah besar uang dan menolak mengembalikannya segera.

Kraken menyatakan bahwa tindakan CertiK tidak sejalan dengan prinsip peretasan topi putih dan pihaknya bekerja sama dengan lembaga penegak hukum untuk mengambil aset tersebut. Pertukaran tersebut juga menekankan bahwa tidak ada dana pengguna yang terpengaruh oleh eksploitasi tersebut, karena uang yang dicuri berasal dari kas Kraken sendiri.

Pos Bug Bounty Gone Wrong: Kraken Menuduh CertiK Melakukan Pemerasan, CertiK Membela Tindakannya muncul pertama kali di Blockonomi.