TLDR

Kraken, kullanıcıların para yatırma işlemlerini tamamlamadan bakiyelerini yapay olarak şişirmelerine ve para çekmelerine olanak tanıyan bir hata keşfetti.

Bir blockchain güvenlik firması olan CertiK, kendisini bu açıktan yararlanan ve Kraken'in hazinesinden yaklaşık 3 milyon dolar çeken "güvenlik araştırmacısı" olarak tanımladı.

Kraken, CertiK'in borsa potansiyel kayıplara ilişkin bir tahmin sunana kadar fonları iade etmeyi reddettiğini ve bunu "gasp" olarak nitelendirdiğini iddia ediyor.

CertiK, güvenlik açığının kapsamını test ettiğini ve Kraken'in çalışanlarını, uyumsuz miktardaki parayı makul olmayan bir zaman dilimi içinde iade etmekle tehdit ettiğini belirterek eylemlerini savundu.

Olay, kripto para sektöründe beyaz şapkalı bilgisayar korsanlığının ve hata ödül programlarının etiği konusunda bir tartışmayı tetikledi.

Kripto para borsası Kraken, kullanıcıların hesap bakiyelerini yapay olarak şişirmelerine ve para yatırma işlemlerini tam olarak tamamlamadan para çekmelerine olanak tanıyan bir güvenlik açığının kurbanı olduğunu yakın zamanda açıkladı. Borsa, bu istismar sonucunda hazinesinden yaklaşık 3 milyon dolar çalındığını bildirdi.

Blockchain güvenlik firması CertiK, hatayı istismar eden ve parayı çeken "güvenlik araştırmacısı" olarak kendini tanıtarak ortaya çıktı.

Kraken'in Baş Güvenlik Sorumlusu Nick Percoco, daha önce ismi açıklanmayan güvenlik ekibini, borsa hatanın gizli kalması durumunda oluşabilecek potansiyel kayıplara ilişkin bir tahmin sunana kadar parayı iade etmeyi reddettikleri için "gasp" yapmakla suçlamıştı.

Kraken Güvenlik Güncellemesi:

9 Haziran 2024'te bir güvenlik araştırmacısından Bug Bounty programı uyarısı aldık. Başlangıçta hiçbir ayrıntı açıklanmadı, ancak e-postalarında platformumuzdaki bakiyelerini yapay olarak şişirmelerine olanak tanıyan "son derece kritik" bir hata bulduklarını iddia ettiler.

— Nick Percoco (@c7five) 19 Haziran 2024

CertiK ise, güvenlik açığının kapsamını test ettiğini ve Kraken'in çalışanlarını makul olmayan bir zaman dilimi içinde eşleşmeyen miktarda parayı geri ödemeleri konusunda tehdit ettiğini, hatta bir geri ödeme adresi bile vermediğini iddia ederek eylemlerini savundu.

CertiK yakın zamanda @krakenfx borsasında potansiyel olarak yüz milyonlarca dolarlık kayba yol açabilecek bir dizi kritik güvenlik açığı tespit etti.

@krakenfx'in mevduat sisteminde farklı dahili... pic.twitter.com/JZkMXj2ZCD arasında ayrım yapamama bulgusundan yola çıkarak

— CertiK (@CertiK) 19 Haziran 2024

Güvenlik firması, Kraken ile etkileşimlerini ve istismarın keşfini ayrıntılarıyla açıklayan bir olay zaman çizelgesi sundu.

CertiK'e göre, bu güvenlik açığı Kraken hesaplarına milyonlarca dolar yatırılmasına ve üretilen kripto paraların çekilip geçerli kripto paralara dönüştürülmesine olanak sağlıyordu.

Şirket ayrıca, günler süren test süreci boyunca hiçbir uyarının tetiklenmediğini ve Kraken'in ilk açıklamadan ancak birkaç gün sonra yanıt verip test hesaplarını kilitlediğini iddia etti.

Olay, beyaz şapkalı bilgisayar korsanlığının etiği ve hata ödül programlarının etkinliği konusunda bir tartışmayı tetikledi.

Bazıları CertiK'in güvenlik açığını kapsamlı bir şekilde test etme amacıyla yaptığı eylemlerin haklı olduğunu savunurken, diğerleri firmanın bu kadar büyük miktarda parayı çekip derhal iade etmeyi reddederek bir çizgiyi aştığına inanıyor.

Kraken, CertiK'in eylemlerinin beyaz şapkalı hackleme ilkeleriyle uyuşmadığını ve varlıkları geri almak için kolluk kuvvetleriyle birlikte çalıştığını savunuyor. Borsa ayrıca, çalınan paranın Kraken'in kendi hazinelerinden gelmesi nedeniyle hiçbir kullanıcı fonunun bu istismardan etkilenmediğini vurguladı.

Hata Ödülü Ters Gitti: Kraken, CertiK'i Gaspla Suçladı, CertiK Eylemlerini Savundu başlıklı gönderi ilk olarak Blockonomi'de yayınlandı.