Kraken Memulihkan $3 Juta Dana yang Hilang Setelah Eksploitasi Bug Bounty

Pertukaran Cryptocurrency Kraken telah berhasil memulihkan hampir $3 juta aset digital setelah eksploitasi bug bounty oleh CertiK. Nicholas Percoco, Kepala Keamanan Kraken, mengonfirmasi pemulihan tersebut dalam postingan tanggal 20 Juni di X, dengan menyatakan: "Pembaruan: Kami sekarang dapat mengonfirmasi bahwa dana telah dikembalikan (dikurangi sejumlah kecil biaya yang hilang)." Pengumuman ini muncul setelah Percoco pertama kali mengungkapkan hilangnya dana tersebut pada 19 Juni, menghubungkan kejadian tersebut dengan "peneliti keamanan" yang telah mengeksploitasi bug.

Kraken menuduh peneliti keamanan telah memeras pertukaran tersebut, menolak mengembalikan dana tanpa imbalan. Perusahaan keamanan Blockchain CertiK segera mengidentifikasi dirinya sebagai “peneliti keamanan” yang terlibat dalam insiden tersebut. Dalam postingan tanggal 19 Juni X, CertiK merinci bahwa mereka telah memberi tahu Kraken tentang eksploitasi yang memungkinkan penarikan jutaan dolar dari rekening bursa. CertiK lebih lanjut mengklaim bahwa Kraken telah mengancam karyawannya untuk membayar kembali jumlah kripto yang tidak sesuai dalam jangka waktu yang tidak masuk akal, tanpa memberikan alamat pembayaran.

Kisah ini menimbulkan pertanyaan tentang perlunya penarikan hampir $3 juta. Percoco awalnya mencatat bahwa transfer $4 saja sudah cukup untuk membuktikan bug tersebut dan memenuhi syarat untuk mendapatkan hadiah yang cukup besar dari program bounty Kraken. Namun, CertiK membela tindakannya, menjelaskan bahwa jumlah besar tersebut merupakan bagian dari upaya untuk menguji batas keamanan dan pengendalian risiko Kraken. “Kami ingin menguji batas perlindungan dan pengendalian risiko Kraken. Setelah beberapa pengujian selama beberapa hari dan kripto bernilai hampir $3 juta, tidak ada peringatan yang dipicu dan kami masih belum menemukan batasnya,” kata CertiK.

CertiK juga mengklarifikasi bahwa mereka pada awalnya tidak meminta hadiah; sebaliknya, Kraken yang menyebutkan hadiahnya terlebih dahulu. "Kami tidak pernah menyebutkan permintaan bounty apa pun. Kraken-lah yang pertama kali menyebutkan bounty mereka kepada kami, sementara kami menjawab bahwa bounty bukanlah topik prioritas dan kami ingin memastikan masalah ini telah diperbaiki," jelas CertiK. Mereka menambahkan bahwa tidak ada dana pengguna Kraken yang berada dalam risiko karena dana yang dieksploitasi “dicetak begitu saja.”