Kraken Baş Güvenliği, UX Değişikliğinin 3 Milyon Dolarlık Hata İstismarıyla Sonuçlandığını Açıkladı

Kraken'in güvenlik şefi, borsanın finansman sistemindeki bir hatanın, hileli güvenlik araştırmacıları tarafından istismar edilmesinin ardından 3 milyon dolarlık bir kayba yol açtığını açıkladı.

Amerikan kripto borsası Kraken, haydut bir "güvenlik araştırmacısının" borsanın finansman sistemindeki bir hatadan yararlanmasının ardından Haziran başında yaklaşık 3 milyon dolar değerinde kripto kaybetti. Kraken'in baş güvenlik görevlisi Nick Percoco, olayı bir X başlığında açıkladı ve ilgili kişilerin etik standartlarını ihlal ettiğini vurguladı.

Her gün “güvenlik araştırmacısı” olduğunu iddia eden kişilerden sahte hata ödül raporları alıyoruz. Bu, hata ödül programı yürüten hiç kimse için yeni bir şey değil. Ancak bu konuyu ciddiye aldık ve konuyu derinlemesine incelemek için hızlı bir şekilde işlevler arası bir ekip oluşturduk. İşte bulduklarımız.

- Nick Percoco (@c7five) 19 Haziran 2024

Percoco'ya göre ekip ilk olarak 9 Haziran'da olası bir hata hakkında bir "güvenlik araştırmacısından" bildirim aldı. Daha sonra ekip, kredi müşteri hesaplarının varlıklarından önce kullanılmasına izin verecek "yakın zamanda yapılan bir kullanıcı deneyimi değişikliğinden kaynaklanan bir kusur" buldu. Bu, müşterilerin kripto piyasalarında gerçek zamanlı ve etkili bir şekilde işlem yapmalarına olanak tanıyacak şekilde temizlendi. Kraken CSO'su, borsanın saldırıdan önce söz konusu saldırı vektörüne karşı UX değişikliğini test etmediğini itiraf etti.

Percoco, "Bu UX değişikliği, bu spesifik saldırı vektörüne karşı kapsamlı bir şekilde test edilmedi" diye yazdı.

Şunlar da hoşunuza gidebilir: Kraken, yanlış ifadeyi gerekçe göstererek bir kez daha SEC davasının reddedilmesini istiyor

Güvenlik açığını kapattıktan sonra Kraken, üç hesabın daha önce aynı kusurdan birkaç gün arayla yararlandığını keşfetti. Percoco, hatayı doğrudan bildirmek yerine güvenlik araştırmacısının bilgileri iki çalışanla paylaştığını ve bilinmeyen kişilerin sonuçta Kraken'in hazinesinden yaklaşık 3 milyon dolar çektiğini söyledi.

Percoco, "güvenlik araştırmacısından" gelen ilk raporun hatayı tam olarak açıklamadığını, bu nedenle ekibin, bir güvenlik kusurunu başarılı bir şekilde tespit edenleri ödüllendirerek ilerlemek için bazı ayrıntıları yeniden onaylaması gerektiğine dikkat çekti.

Kraken, faaliyetlerine ilişkin tam bir açıklama, kavram kanıtı ve çekilen fonların iadesini talep etti. Ancak bireyler buna uymayı reddettiler ve Percoco bunu "beyaz şapkalı bilgisayar korsanlığı değil" daha ziyade "gasp" olarak tanımladı. Kraken'in tüm saldırganları tespit edip etmediği veya çalınan fonları geri almayı başardığı henüz belli değil.

Devamını oku: Kripto borsası Kraken halka arz öncesi 100 milyon dolarlık artış bekliyor