Pada artikel ini kita berbicara tentang kisah yang luar biasa: beberapa hari yang lalu perusahaan audit Certi mengidentifikasi kelemahan dalam sistem keamanan pertukaran kripto Kraken yang dapat menyebabkan peretasan serius.

Setelah melakukan beberapa pengujian selama 3 hari dan melakukan serangan “white hack” senilai 3 juta dolar, Certik menghubungi Kraken untuk menginformasikan bug tersebut, namun pada awalnya menolak untuk segera mengembalikan jumlah yang dicuri.

Pertukaran kripto segera menghubungi penegak hukum dan memperlakukan situasi tersebut sebagai kasus kriminal, sementara perusahaan keamanan kriptografi bersikeras bahwa ini adalah ujian khas dari “program hadiah.” Kini dana tersebut sepertinya sudah dikembalikan.

Mari kita lihat semuanya secara detail di bawah ini.

Peretasan senilai 3 juta dolar terhadap bursa kripto Kraken: Certik bertanggung jawab, tetapi menolak mengembalikan uang tersebut

Kisah ini dimulai pada 9 Juni 2024, ketika pertukaran kripto Kraken menerima komunikasi informal dari “peneliti keamanan” yang mengklaim telah menemukan kerentanan pada platform yang dapat menyebabkan peretasan skala besar.

Seperti yang dilaporkan dalam tweet post-mortem oleh Nick Percoco, Chief Security Officer Kraken, peneliti telah menyoroti kelemahan dalam sistem keamanan simpanan (tidak dapat membedakan status transfer internal yang berbeda), yang memungkinkan pengguna untuk meningkatkan saldo mereka dan menarik lebih banyak koin daripada yang sebenarnya tersedia. Pertukaran segera mengambil tindakan untuk menyelesaikan masalah tersebut, dan hanya dalam 47 menit tim ahli berhasil memperbaiki bug tersebut.

Berikut yang dilaporkan Percoco:

“Bug tersebut memungkinkan penyerang jahat, dalam situasi yang tepat, untuk melakukan deposit di platform kami dan menerima dana ke akun mereka tanpa menyelesaikan deposit sepenuhnya. Untuk lebih jelasnya, tidak ada aset pelanggan yang berisiko”

Pembaruan Keamanan Kraken:

Pada tanggal 9 Juni 2024, kami menerima peringatan program Bug Bounty dari peneliti keamanan. Awalnya tidak ada informasi spesifik yang diungkapkan, namun email mereka mengklaim menemukan bug “sangat kritis” yang memungkinkan mereka meningkatkan saldo mereka di platform kami secara artifisial.

— Nick Percoco (@c7five) 19 Juni 2024

Sejauh ini semuanya normal, kecuali perusahaan keamanan web3 yang sama tempat peneliti yang menghubungi Kraken bekerja, sebelum melaporkan bug secara resmi, akan melakukan beberapa peretasan pada platform dengan total $3 juta.

Segera setelah postingan Percoco dipublikasikan, firma audit ternama Certi langsung mengaku bertanggung jawab atas kejadian tersebut dan mengungkapkan peran pentingnya dalam masalah tersebut.

Certik diduga “menguji” mekanisme pertahanan Kraken dengan melakukan serangan besar-besaran, dan menarik token MATIC dalam jumlah besar dari 3 akun berbeda, kemudian membersihkan jejak dana tersebut melalui mixer Tornado Cash.

 Seperti yang dijelaskan oleh manajer keamanan bursa, setelah memperbaiki masalah, Kraken meminta Certi mengembalikan dana tersebut, namun awalnya dia menolak.

Meski begitu, Certi menegaskan bahwa aktivitasnya sejalan dengan prinsip “white hack”.

Rupanya Certi tidak menyebutkan peran pengeksploitasi 3 akun tersebut dalam kejadian tersebut, meski telah melakukan tes penarikan 3 hari sebelum komunikasi dengan Kraken.

Peneliti keamanan yang menemukan bug tersebut, akan meminta imbalan yang besar karena telah mengidentifikasi kelemahan besar yang dapat mengakibatkan peretasan besar-besaran, namun Kraken bersikeras untuk mendapatkan dana mereka kembali.

Karena perusahaan audit menolak mengembalikan barang jarahan, dan tampaknya telah berusaha menyembunyikan bukti peretasan, bursa memutuskan untuk memperlakukan situasi tersebut seolah-olah ini adalah kasus pidana dengan memberi tahu pihak yang berwenang dan penegak hukum.

Perusahaan keamanan web3 telah meminta imbalan hadiah yang setara dengan jumlah yang diperkirakan disebabkan oleh bug ini jika tidak diungkapkan, sehingga membuat marah tim platform pertukaran.

Percoco mengomentari profil X-nya tentang apa yang terjadi, menunjukkan semua penolakannya terhadap perilaku Certi:

“Ini bukan white hacking, ini pemerasan”.

Kami tidak akan mengungkapkan perusahaan riset ini karena mereka tidak pantas mendapatkan pengakuan atas tindakan mereka. Kami memperlakukan ini sebagai kasus pidana dan berkoordinasi dengan lembaga penegak hukum. Kami bersyukur masalah ini telah dilaporkan, namun disitulah pemikiran tersebut berakhir.

— Nick Percoco (@c7five) 19 Juni 2024

Penolakan Certik: dana dikembalikan meski beberapa karyawan mendapat ancaman dari tim Kraken

Certi, setelah memperkenalkan dirinya sebagai perusahaan yang bertanggung jawab untuk mengidentifikasi kelemahan dalam sistem deposit, segera membantah apa yang dilaporkan Kraken, menyoroti peran “peretasan putih” dan niat positifnya.

Perusahaan mengungkapkan bahwa mereka telah melakukan peretasan skala besar, sebesar 3 juta dolar, semata-mata untuk tujuan menguji pertahanan bursa, namun juga menekankan bahwa mereka tidak pernah menolak untuk mengembalikan jarahan melainkan ingin memastikan bahwa semuanya dieksekusi dengan benar.

Certi mengaku kagum dengan potensi dampak negatif yang ditimbulkan oleh bug tersebut, terutama karena alarm Kraken tidak pernah terpicu. Hal ini dinyatakan dalam sebuah posting: 

“Jutaan dolar dapat disetorkan ke akun Kraken APAPUN. Kripto dalam jumlah besar (bernilai lebih dari 1 juta+ USD) dapat ditarik dari akun dan diubah menjadi kripto yang valid. Lebih buruk lagi, selama periode pengujian beberapa hari, tidak ada peringatan yang dipicu”.

Lebih lanjut, firma audit menjelaskan bahwa salah satu anggota tim pertukaran telah mengancam peneliti mereka sendiri untuk mengembalikan jumlah tersebut dalam jangka waktu yang tidak wajar (6 jam) tanpa memberikan alamat pembayaran.

Hal ini terjadi setelah, beberapa hari setelah peretasan, kedua perusahaan melakukan panggilan telepon untuk mencoba mencari solusi dan menyelesaikan masalah tersebut.

CertiK baru-baru ini mengidentifikasi serangkaian kerentanan kritis di bursa @krakenfx yang berpotensi menyebabkan kerugian ratusan juta dolar.

Berawal dari temuan pada sistem deposit @krakenfx yang mungkin gagal membedakan internal yang berbeda… pic.twitter.com/JZkMXj2ZCD

— CertiK (@CertiK) 19 Juni 2024

Ternyata, yang memicu kericuhan tersebut adalah besaran hadiah bounty yang diajukan Kraken, yang dianggap tidak sesuai dengan upaya yang dilakukan dan potensi eksploitasi yang dapat dicegah. Seperti dilansir juru bicara Kraken kepada Coindesk:

“Kami melibatkan para peneliti ini dengan itikad baik dan, sejalan dengan satu dekade pengelolaan program bug bounty, kami telah menawarkan hadiah yang cukup besar atas upaya mereka. Kami kecewa dengan pengalaman ini dan sekarang bekerja sama dengan penegak hukum untuk memulihkan aset dari para peneliti keamanan ini”.

Hari ini Certik menerbitkan postingan lain dengan beberapa FAQ untuk lebih memperjelas posisi mereka dan menghilangkan keraguan.

Perusahaan keamanan menegaskan kembali bahwa mereka telah “secara konsisten” mengkonfirmasi bahwa mereka akan mengembalikan jumlah yang dicuri, dan menyatakan bahwa sekarang semua dana telah kembali ke tangan Kraken.

Dana ini dikirim kembali ke pengirim dalam 734.19215 ETH, 29,001 USDT, dan 1021.1 XMR, sementara bursa secara tegas meminta untuk mengirim 155818.4468 MATIC, 907400.1803 USDT, 475.5557871 ETH, dan 1089.794737 XMR, dengan total nilai setara lebih besar sekitar 100.000 dolar .

T&J mengenai operasi whitehat CertiK-Kraken terkini:

1. Apakah ada pengguna sebenarnya yang kehilangan dana？
Tidak. Kripto diciptakan begitu saja, dan tidak ada aset pengguna Kraken yang terlibat langsung dalam aktivitas penelitian kami.

2. Apakah kami menolak mengembalikan dana tersebut?
Tidak. Dalam komunikasi kami dengan…

— CertiK (@CertiK) 20 Juni 2024

Kraken tetap teguh pada konsep etika “peretasan putih” dan menyatakan bahwa penindasan yang dilakukan oleh Certi dapat diidentifikasi sebagai pemerasan.

Program Bounty di bursa memang mengharuskan pihak ketiga untuk menemukan masalahnya, mengeksploitasi jumlah minimum yang diperlukan untuk menguji bug (tanpa melakukan peretasan senilai 3 juta dolar), mengembalikan sumber daya, dan memberikan rincian tentang kerentanannya.