Kraken'in 3 milyon dolarlık bir hatayı düzeltmek ve beklenmedik bir bilgisayar korsanını savuşturmak için 47 dakikalık mücadelesinin içinde

Kraken'in baş güvenlik görevlisi Nick Percoco, geçen ay borsanın 3 milyon dolar karşılığında saldırıya uğradığını öğrendiğinde, hak ettiği bir tatile giderken 40.000 feet yükseklikte uçuyordu.

Ancak Japonya'da gevşemek yerine Percoco, dünyanın yedinci büyük kripto borsasını vuracak en kötü güvenlik krizlerinden birinin yönetilmesine yardım etmek zorunda kaldı.

Percoco, DL News'e "Uçuşta Wi-Fi erişimine sahip oldum" dedi. “Twitter'da iş yerindeki insanlarla son dakika iletişimleri yapıyordum, haberleri okuyordum. Ve bunu gördüm ve onları böcek ödülüne yönlendirdim."

19 Haziran'da Kraken, bağımsız bir güvenlik araştırmacısının borsanın hata ödül programında kritik bir güvenlik açığı bildirdiğini açıkladı.

Bu programlar, saldırganlara projelerdeki güvenlik açıklarını tespit etmeleri karşılığında para teklif ediyor.

Bu özel zayıflık, araştırmacının Kraken hesaplarına istediği zaman para yatırmasına olanak tanıdı. Dedektif, güvenlik ve kripto denetim firması CertiK için çalıştı ve bu güvenlik açığını tespit ettiğini söyledi.

Percoco, beş gün boyunca CertiK'in borsadan 3 milyon dolarlık kripto para çektiğini söyledi.

Bu oldukça sıra dışı bir durum. Percoco, güvenlik firmalarının bir güvenlik açığından bu kadar uzun süre ve bu kadar para karşılığında yararlanmaması gerektiğini söyledi.

Fonlar sonunda iade edildi ve hata 47 dakika içinde düzeltildi. Yine de kripto standartlarına göre bile şaşırtıcı bir olaydı.

Bu, sektördeki en köklü borsalardan birinin büyük bir ihlaliydi. 2011 yılında kurulan Kraken'in yükselişi Bitcoin'in kurumsallaşmasıyla eş anlamlı oldu.

Ocak ayında 11 farklı spot Bitcoin ETF'si onaylandı. Aylar sonra Kraken, olası bir halka arz öncesinde fon topluyor.

İstismar da tuhaftı. Kripto kodunun güvenliği üzerine kurulmuş bir işletme olan CertiK, hata ödülleriyle ilgili hemen hemen tüm endüstri standartlarını ihlal ediyor gibi görünüyordu. Hatta fiyasko boyunca Kraken'in güvenlik ekibiyle bir satış görüşmesi bile yapmaya çalıştılar.

CertiK, DL News'in yorum talebine hemen yanıt vermedi.

Bir tweet'te Percoco, CertiK'in beyaz şapkalı hackleme yerine borsayı gasp ettiğini söyledi.

Temel kurallar

Hata ödül programları kripto ve teknoloji endüstrilerinde yaygındır.

Koduna değecek herhangi bir kripto projesi, akıllı sözleşmelerinin çeşitli denetimleri için nakit ayırır ve bir hatayı tespit eden kurnaz ama etik bilgisayar korsanlarını ödüllendirmek için başka bir miktar da ayırır.

Geçen ay bir araştırmacı, 1. katman ağı Sei'deki bir hatayı tespit ederek 2 milyon dolar kazandı. Kraken, yakın zamanda meydana gelen kritik hatalar için 1,5 milyon dolara kadar para ödüyor.

90'ların sonlarından beri güvenlik araştırmacısı olan Percoco, Kraken'in programının on yıldır var olduğunu söylüyor. Gelen kutusu, hızlı bir ödeme arayan kişilerin sahte istismarlarıyla doluyor.

Hatta CertiK'in raporunun sahte olduğunu bile düşünüyordu.

"Ulaşılan mesaj 'Bizimle mümkün olan en kısa sürede iletişime geçmeniz gerekiyor' şeklindeydi ve herhangi bir iletişim bilgisi yoktu. Direkt mesaj bile atamadım" dedi. "Bunun bizi dolandırmaya çalışan biri olup olmadığı biraz şüpheliydi."

kırmızı bayraklar

Yine de, gece gündüz gelen kutusunu izleyen beş kişilik ekibin her raporu taraması gerekiyor. Kraken'in günlük işlem hacmi 1 milyar dolardan fazla olduğu için tehlikede olan pek çok şey var.

Percoco, iletişim bilgilerinin eksikliğinin tek tehlike işareti olmadığını söyledi.

Ödül toplayıcılarının hataları bildirmek için dört kurala uyması gerekir. Öncelikle hatayı tespit ettikleri anda şirkete bildirmeleri gerekiyor.

İkincisi, ödül toplayıcılarının bu hatadan yararlanabileceklerini kanıtlamaları gerekiyor. Üçüncüsü, kanıt sunarken yalnızca güvenlik açığını kanıtlamaya yetecek kadar para almaları gerekir.

Ve son olarak, istismarı yeniden test etmek ve şirketin sorunu düzeltip düzeltmediğini görmek için şirketle iletişime geçmeleri gerekiyor.

Percoco'ya göre CertiK, dört kuralı da çiğneyerek farklı bir yaklaşım benimsedi.

Kripto büyüme sancıları

BlackRock ve Fidelity'nin alana akın etmesiyle güvenlik ve hata ödülleri ön planda. Ancak en iyi uygulamaların uzun yıllar sürdüğü diğer endüstrilerin aksine, kriptoda bu uygulamalar yalnızca birkaç gün sürebilir.

Son olaya rağmen firmalar hâlâ hata ödül programlarına para akıtıyor.

Hata ödül platformu HackerOne'a göre kripto borsası Crypto.com, kritik bir hata için 80.000 dolar teklif ediyor. Saklama hizmeti Fireblocks, benzer güvenlik açıkları için 250.000 dolarlık büyük bir ödül veriyor.

Eğer borsaya girebilirseniz halka açık Coinbase bile 1 milyon dolar ödeyecek.

Hata ödülleri pahalıdır ve bazen hantal güvenlik ağlarıdır, ancak bu yıl zaten çalınmış olan 664 milyon dolar göz önüne alındığında, bunların hala gerekli olduğu açıktır.

Liam Kelly, DL News'te DeFi muhabiridir. Liam@dlnews.com adresinden bize ulaşın.