Kraken, Rogue 'Güvenlik Araştırmacılarının' 3 Milyon Doları Sömürmesine İzin Verilen Hatayı Açıkladı

ABD merkezli borsa Kraken, isimsiz bir güvenlik şirketinin platformundaki bir hatadan yararlanmasının ardından hazinesinde neredeyse 3 milyon dolar kaybetti. Güvenlik şefi Nick Percoco, bunu X'teki bir gönderide açıkladı ve güvenlik firmasının parayı iade etmeyi reddettiğini ve şimdi ödül olarak daha yüksek bir ödeme talep ettiğini belirtti.

Ayrıca Okuyun: Kripto Borsası DMM Bitcoin, 300 Milyon Dolarlık Hack Sonrası Kullanıcılara Geri Ödeme Sözü Verdi

Buna yanıt olarak Kraken konuyu kolluk kuvvetlerine iletti ve bunu suç olarak ele alacak. Ancak borsanın güvenlik açığını zaten çözdüğünü ve hiçbir kullanıcı hesabının etkilenmediğini iddia etmesi nedeniyle kullanıcıların endişelenmesine gerek yok.

Kraken hatası para basılmasına izin veriyor

Percoco'ya göre, bir güvenlik araştırmacısı 9 Haziran'da Bug Bounty programı aracılığıyla Kraken'i kritik bir hata konusunda uyardı. Dahili soruşturmalar sonrasında borsa güvenlik ekibi, kötü bir aktörün Kraken hesabına para yatırma işlemi başlatmasına ve bu güvenlik açığını almasına izin verebilecek bir güvenlik açığı keşfetti. depozitoyu tamamlamadan para. Kötü niyetli bir saldırgan, bu açıktan yararlanarak milyonlarca insanı yoktan basabilir.

Açıkladı:

“İzole edilmiş bir hata keşfettik. Bu, kötü niyetli bir saldırganın doğru koşullar altında platformumuza para yatırma işlemi başlatmasına ve para yatırma işlemini tam olarak tamamlamadan hesabına para almasına olanak sağladı."

Dahili güvenlik ekibi sorunu 47 dakika içinde hafifletti ve birkaç saat sonra tamamen düzeltti. Ancak firma, hatanın kullanıcı deneyiminde müşteri hesaplarının varlıkları tahsil edilmeden önce kredilendirilmesine izin veren yakın zamanda yapılan bir değişiklikten kaynaklandığını keşfetti. Her ne kadar değişiklik anında alım satımı mümkün kılacak şekilde entegre edilmiş olsa da bu tür risklere karşı tam olarak test edilmedi.

Ancak Percoco, olayın kullanıcıların varlıklarını etkilemediğini ve güvenlik açığından yararlanmanın yalnızca Kraken hazinesini etkilediğini de sözlerine ekledi.

Güvenlik araştırmacıları suçludur

Bu arada, güvenlik açığının analizi, üç hesabın bu kusurdan yararlandığını ve bu hesaplardan birinin borsayla ilk iletişime geçen güvenlik araştırmacısının adı altında kayıtlı olduğunu ortaya çıkardı.

Ayrıca Okuyun: Kraken, Yeni AB Düzenlemelerine Yanıt Olarak USDT'yi Listeden Çıkarmayı Düşünüyor

Araştırmacının hesabı bu kusuru kullanarak hatanın gerçek olduğunu kanıtlamaya yetecek kadar yalnızca 4 dolar yatırırken, diğer iki hesap da aynı istismarı kullanarak Kraken hesaplarından neredeyse 3 milyon dolar çekti. İlginç bir şekilde bu hesaplar güvenlik araştırmacısının ortaklarıyla ilişkilendirildi.

Kraken, araştırmacıların artık hata riskiyle orantılı olduğuna inandıkları daha yüksek bir ödeme talep etmeleri nedeniyle fonları geri alma girişimlerinin sonuçsuz kaldığını açıkladı.

Percoco bunu Bug Bounty programının ardındaki prensiple çelişen bir gasp eylemi olarak tanımladı. Beyaz şapkalı bilgisayar korsanlarına hackleme lisansı veren kuralların ihlal edilmesinin, güvenlik araştırmacılarını suçlu haline getirdiğini ve borsanın onlara bu şekilde davrandığını ekledi.