Hata Ödüllendirmesi Yanlış Gitti: Kraken, CertiK'i Gaspçılıkla Suçluyor, CertiK Eylemlerini Savunuyor

TLDR

• Kraken, kullanıcıların para yatırma işlemlerini tamamlamadan bakiyelerini yapay olarak şişirmelerine ve para çekmelerine olanak tanıyan bir hata keşfetti.

• Bir blockchain güvenlik firması olan CertiK, kendisini bu açıktan yararlanan ve Kraken'in hazinesinden yaklaşık 3 milyon dolar çeken "güvenlik araştırmacısı" olarak tanımladı.

• Kraken, CertiK'in borsa potansiyel kayıplara ilişkin bir tahmin sunana kadar fonları iade etmeyi reddettiğini ve bunu "gasp" olarak nitelendirdiğini iddia ediyor.

• CertiK, güvenlik açığının kapsamını test ettiğini ve Kraken'in çalışanlarını makul olmayan bir zaman dilimi içinde uyumsuz miktardaki parayı iade etmekle tehdit ettiğini belirterek eylemlerini savundu.

• Olay, kripto para endüstrisinde beyaz şapka korsanlığı ve hata ödül programlarının etiği konusunda bir tartışmaya yol açtı.

Kripto para borsası Kraken geçtiğimiz günlerde, kullanıcıların hesap bakiyelerini yapay olarak şişirmelerine ve para yatırma işlemlerini tam olarak tamamlamadan para çekmelerine olanak tanıyan bir güvenlik açığının kurbanı olduğunu açıkladı. Borsa, istismarın bir sonucu olarak hazinesinden yaklaşık 3 milyon doların çalındığını bildirdi.

Blockchain güvenlik firması CertiK öne çıktı ve kendisini hatadan yararlanıp fonları geri çekmekten sorumlu "güvenlik araştırmacısı" olarak tanımladı.

Kraken'in Baş Güvenlik Görevlisi Nick Percoco, daha önce adı açıklanmayan güvenlik ekibini, hatanın açıklanmaması durumunda borsanın olası kayıplara ilişkin bir tahmin sağlayana kadar fonları iade etmeyi reddetmesiyle "gasp" yapmakla suçlamıştı.

Kraken Güvenlik Güncellemesi:

9 Haziran 2024'te bir güvenlik araştırmacısından Bug Bounty programı uyarısı aldık. Başlangıçta hiçbir ayrıntı açıklanmadı, ancak e-postaları, platformumuzdaki bakiyelerini yapay olarak şişirmelerine olanak tanıyan "son derece kritik" bir hata bulduğunu iddia etti.

- Nick Percoco (@c7five) 19 Haziran 2024

Ancak CertiK, güvenlik açığının kapsamını test ettiğini ve Kraken'in çalışanlarını, geri ödeme adresi bile vermeden, uyumsuz miktardaki parayı makul olmayan bir zaman dilimi içinde iade etmekle tehdit ettiğini iddia ederek eylemlerini savundu.

CertiK yakın zamanda @krakenfx borsasında potansiyel olarak yüz milyonlarca dolarlık kayba yol açabilecek bir dizi kritik güvenlik açığı tespit etti.

@krakenfx'in para yatırma sisteminde farklı dahili para yatırma işlemleri arasında ayrım yapamayabileceği bir bulgudan yola çıkarak… pic.twitter.com/JZkMXj2ZCD

- CertiK (@CertiK) Haziran 19, 2024

Güvenlik firması, Kraken ile olan etkileşimlerini ve açıktan yararlanmanın keşfedilmesini detaylandıran olayların zaman çizelgesini sağladı.

CertiK'e göre güvenlik açığı, milyonlarca doların herhangi bir Kraken hesabına yatırılmasına ve üretilen kripto paranın çekilip geçerli kripto para birimlerine dönüştürülmesine olanak sağladı.

Firma ayrıca, birkaç gün süren test süresi boyunca hiçbir uyarının tetiklenmediğini ve Kraken'in yalnızca ilk açıklamadan günler sonra yanıt verdiğini ve test hesaplarını kilitlediğini iddia etti.

Olay, beyaz şapka korsanlığının etiği ve hata ödül programlarının etkinliği hakkında bir tartışmaya yol açtı.

Bazıları CertiK'in eylemlerinin güvenlik açığını kapsamlı bir şekilde test etme açısından haklı olduğunu savunurken, diğerleri firmanın bu kadar büyük miktarda parayı çekip hemen iade etmeyi reddederek çizgiyi aştığı görüşünde.

Kraken, CertiK'in eylemlerinin beyaz şapkalı bilgisayar korsanlığı ilkelerine uygun olmadığını ve varlıkları geri almak için kolluk kuvvetleriyle birlikte çalıştığını savunuyor. Borsa ayrıca, çalınan paranın Kraken'in kendi hazinesinden gelmesi nedeniyle hiçbir kullanıcı fonunun bu istismardan etkilenmediğini de vurguladı.

Bug Bounty Yanlış Gitti: Kraken CertiK'i Gaspla Suçluyor, CertiK Eylemlerini Savunuyor yazısı ilk olarak Blockonomi'de çıktı.