Dyrektor ds. bezpieczeństwa giełdy kryptowalut Kraken, Nick Percoco, udostępnił post na platformie mediów społecznościowych X, informując, że 9 czerwca otrzymano alert w ramach programu Bug Bounty od badacza bezpieczeństwa. Alert otrzymany e-mailem nie zawierał konkretnych szczegółów, ale wspomniał o odkryciu „niezwykle krytycznej” luki, która może potencjalnie sztucznie zawyżać saldo platformy.
Kraken zidentyfikował i zaradził luce w zabezpieczeniach, która może umożliwić złośliwemu aktorowi potencjalne otrzymanie środków na swoje konto bez ukończenia pełnego procesu wpłaty. Problem wynikał z niedawnej aktualizacji doświadczenia użytkownika (UX), która umożliwiła zasilenie kont klientów przed całkowitym wyczyszczeniem ich aktywów, ułatwiając handel na rynkach kryptowalut w czasie rzeczywistym. Ta konkretna zmiana UX nie została odpowiednio przetestowana pod kątem takich potencjalnych wektorów ataku.
Ponadto odkryto, że w krótkim czasie trzy konta wykorzystały tę lukę. Po przeprowadzeniu dokładnego dochodzenia ustalono, że jedno z tych kont należało do badacza bezpieczeństwa, który początkowo zidentyfikował błąd w systemie i zgłosił go.
„Badacz bezpieczeństwa” podzielił się później szczegółami tego błędu z dwoma współpracownikami. Łącznie na tych trzech kontach udało się wypłacić prawie 3 miliony dolarów z kont Krakena, w szczególności ze skarbców Krakena, a nie z aktywów klientów. Po tym, jak Kraken skontaktował się z badaczami bezpieczeństwa w celu omówienia nagrody za odkrycie luki w zabezpieczeniach w ramach programu Bug Bounty, badacze odmówili zwrotu jakichkolwiek środków do czasu, aż giełda oszacowała potencjalny wpływ finansowy błędu w przypadku jego niezgłoszenia.
Nick Percoco podkreślił, że incydent został odebrany jako wymuszenie, a nie legalna działalność hakerska, chociaż nie ujawnił nazwy firmy badawczej, której to dotyczy. Następnie zauważył, że Kraken postrzega taki incydent jako sprawę karną i w stosownych przypadkach zamierza współpracować z organami ścigania.
Żeby było jasne, aktywa żadnego klienta nie były nigdy zagrożone. Jednak złośliwy atakujący może skutecznie wydrukować zasoby na swoim koncie Kraken przez pewien okres czasu.
— Nick Percoco (@c7five) 19 czerwca 2024 r
Program Kraken Bug Bounty chroni użytkowników kryptowalut, potwierdza 22 raporty w 2023 r.
Kraken umożliwia handel kryptowalutami w stosunku do walut fiducjarnych. Dodatkowo oferuje usługi w zakresie kryptowalutowych instrumentów pochodnych i handlu kontraktami futures. Na podstawie informacji z CoinMarketCap Kraken zajmuje szóstą pozycję wśród światowych giełd kryptowalut, ze średnim dziennym wolumenem obrotu wynoszącym około 741 milionów dolarów.
Program Bug Bounty wspiera misję Krakena polegającą na ochronie użytkowników na rynku kryptowalut. Kraken zobowiązuje się do powstrzymywania się od podejmowania działań prawnych przeciwko badaczom bezpieczeństwa, którzy przestrzegają wszystkich zasad Kraken Bug Bounty. Zgłoszenia do inicjatywy są poddawane ocenie przez firmę Kraken, a wypłaty zależą od wagi błędu i są wydawane w BTC. W 2023 r. w ramach programu zatwierdzono 22 raporty z łącznej liczby 461 zgłoszeń.
Post Crypto Exchange Kraken szantażowany po raporcie o nagrodzie za błąd, 3 miliony dolarów wycofane z aktywów skarbowych pojawił się jako pierwszy w Metaverse Post.