Kraken berpendapat bahwa CertiK berlebihan – namun perusahaan keamanan siber tersebut menegaskan bahwa penarikan besar-besaran diperlukan untuk memastikan skala masalahnya.
Pekan lalu, Kraken mengumumkan bahwa bug kritis telah memungkinkan peneliti keamanan meningkatkan saldo mereka secara artifisial – dan menarik hampir $3 juta.
Pembaruan Keamanan Kraken:Pada tanggal 9 Juni 2024, kami menerima peringatan program Bug Bounty dari peneliti keamanan. Awalnya tidak ada informasi spesifik yang diungkapkan, namun email mereka mengklaim menemukan bug “sangat kritis” yang memungkinkan mereka meningkatkan saldo mereka di platform kami secara artifisial.
— Nick Percoco (@c7five) 19 Juni 2024
Namun ada sesuatu yang sangat tidak biasa dalam keseluruhan insiden tersebut, dan hal itu akhirnya memicu perang kata-kata antara bursa kripto dan perusahaan keamanan siber besar.
Kepala petugas keamanan Kraken, Nick Percoco memulai dengan mengumumkan bahwa telah ditemukan kelemahan yang memungkinkan pelaku jahat mencetak dana di akun.
Diperlukan waktu 47 menit untuk memitigasi masalah ini, dan beberapa jam untuk memperbaikinya sepenuhnya. Sejauh ini, semua itu tampak normal dan rutin.
Namun Percoco memperburuk keadaan dengan mengklaim bahwa peneliti keamanan yang terlibat telah memberi tahu dua rekan mereka tentang masalah ini, sehingga memungkinkan mereka mengambil dana perusahaan senilai jutaan.
Dia mengatakan Kraken telah menanyakan rincian tentang bagaimana eksploitasi itu dicapai dan telah berusaha mengatur agar dana dikembalikan secara penuh, namun menuduh bahwa pertukaran tersebut ditolak.
“Sebaliknya, mereka meminta panggilan dengan tim pengembangan bisnis mereka (yaitu perwakilan penjualan mereka) dan belum setuju untuk mengembalikan dana apa pun sampai kami memberikan perkiraan jumlah $ yang mungkin disebabkan oleh bug ini jika mereka tidak mengungkapkannya. Ini bukan peretasan topi putih, ini pemerasan!”
Nick Percoco
Percoco melanjutkan dengan mengklaim bahwa para peneliti tidak bekerja sesuai semangat program bug bounty karena mereka mengekstraksi jauh lebih banyak dari yang diperlukan, gagal memberikan bukti konsep, dan tidak segera mengembalikan uang tunai.
Jadi apa yang terjadi di sini? Apakah ini peretas topi putih yang sedang menuju sisi gelap? Seseorang menahan Kraken sebagai tebusan? Masalah kriminal?
Anda mungkin juga menyukai: Cara membeli koin sebelum didaftarkan
CertiK melangkah maju
Di sinilah cerita berubah menjadi tidak biasa. Anda mungkin berasumsi bahwa eksploitasi tersebut diatur oleh seorang remaja cerdas yang dikurung di kamar tidurnya di suatu tempat. Faktanya, hal ini dilakukan oleh CertiK — salah satu auditor terbesar di bidang Web3.
Hanya tiga jam setelah topik Percoco tentang X, perusahaan tersebut melangkah maju dengan versi acaranya sendiri.
CertiK baru-baru ini mengidentifikasi serangkaian kerentanan kritis di bursa @krakenfx yang berpotensi menyebabkan kerugian ratusan juta dolar. Berawal dari temuan di sistem deposit @krakenfx yang mungkin gagal membedakan berbagai internal… pic.twitter.com/ JZkMXj2ZCD
— CertiK (@CertiK) 19 Juni 2024
Dikatakan bahwa pengujian selama berhari-hari telah gagal untuk memunculkan tanda bahaya apa pun di sistem internal Kraken – yang berarti tim keamanan bursa hanya melakukan intervensi setelah diberi tahu tentang kelemahan tersebut.
“Setelah konversi awal yang berhasil dalam mengidentifikasi dan memperbaiki kerentanan, tim operasi keamanan Kraken telah MENGANCAM setiap karyawan CertiK untuk membayar kembali sejumlah kripto yang TIDAK SESUAI dalam waktu yang TIDAK WAJAR bahkan TANPA memberikan alamat pembayaran.”
Sertifikat
CertiK selanjutnya mendesak Kraken “untuk menghentikan segala ancaman terhadap peretas topi putih.”
Sehari kemudian, mereka melanjutkan dengan topik yang menjawab pertanyaan tentang penelitiannya.
T&J mengenai operasi whitehat CertiK-Kraken baru-baru ini: 1. Apakah ada pengguna sebenarnya yang kehilangan dana?Tidak. Kripto dicetak begitu saja, dan tidak ada aset pengguna Kraken yang terlibat langsung dalam aktivitas penelitian kami.2. Apakah kami menolak mengembalikan dana tersebut?Tidak. Dalam komunikasi kami dengan…
— CertiK (@CertiK) 20 Juni 2024
Selain menekankan bahwa tidak ada pelanggan Kraken yang kehilangan uang, CertiK menekankan bahwa pihaknya telah “secara konsisten meyakinkan” perusahaan bahwa uang tersebut akan dikembalikan, dan memang demikian. Satu-satunya hal yang sulit? Ketidaksepakatan mengenai berapa sebenarnya jumlah utang pertukaran tersebut.
Saat menjelaskan mengapa mereka memilih untuk mengeksploitasi kelemahan tersebut dalam skala besar, perusahaan menambahkan:
“Kami ingin menguji batas perlindungan dan pengendalian risiko Kraken. Setelah beberapa pengujian selama beberapa hari dan kripto bernilai hampir tiga juta, tidak ada peringatan yang dipicu dan kami masih belum mengetahui batasnya.”
Sertifikat
Membaca yang tersirat, dan tampaknya CertiK menginginkan jawaban dari Kraken tentang seberapa besar penipu sejati bisa pergi jika mereka terus melakukannya.
Perusahaan keamanan siber tersebut melanjutkan dengan berargumentasi bahwa bug bounty berada jauh di bawah daftar prioritasnya – dan semua transaksi yang terkait dengan pengujiannya telah memasuki domain publik.
Perang kata-kata yang dahsyat
Di X, ada sedikit perbedaan pendapat mengenai siapa yang benar dan siapa yang salah.
Pertanyaan sebenarnya adalah mengapa Anda mengeksploitasi jumlah yang tidak senonoh sebagai bagian dari pengujian Anda dalam peran di mana kepercayaan adalah elemen paling penting. Ambil huruf L dan berhenti men-tweet tanpa nasihat hukum.
— Lihat $LSS BULL (@crypto_seeb) 19 Juni 2024
$3 juta tidak seberapa jika dibandingkan dengan besarnya potensi peretasan kebangkrutan. Double L oleh Kraken menjadikannya isu publik alih-alih hanya bersyukur kepada Tuhan karena tidak memanfaatkannya.
— everhusk (@everhusk) 19 Juni 2024
Argumen CertiK bermuara pada hal ini: mereka perlu melakukan penarikan dalam jumlah besar untuk menguji apakah ada di antara mereka yang akan ditandai oleh sistem internal Kraken.
Pertengkaran tersebut, yang kini tampaknya telah terselesaikan di permukaan, menyoroti beberapa ketegangan antara bisnis di bidang kripto – dan para peneliti keamanan siber yang ditugaskan untuk mengendalikannya.
Apakah perlu ada kesepakatan yang lebih besar mengenai aturan keterlibatan? Pernahkah ada contoh eksploitasi skala besar yang dilakukan oleh peretas topi putih dapat dibenarkan, karena hal tersebut dapat mencegah terjadinya bencana yang lebih besar di kemudian hari?
Jika hal ini terjadi pada Jaringan Ronin – membantu mencegah salah satu pencurian kripto terbesar sepanjang masa yang menyebabkan pencurian $625 juta – Anda mungkin akan berpendapat bahwa pencurian sementara beberapa juta dolar dapat dibenarkan.
Tidak peduli bagaimana Anda melihatnya, kejadian ini adalah pengingat yang menyakitkan bahwa bursa besar mungkin memiliki bug yang belum terungkap, sehingga menimbulkan risiko bagi investor sehari-hari yang menggunakan platform perdagangan ini untuk menyimpan dana mereka.
Anda mungkin juga menyukai: Bisakah industri kripto mempercayai Trump?
