De toonaangevende cryptocurrency-uitwisseling Kraken heeft onthuld dat “beveiligingsonderzoekers” die een kwetsbaarheid op zijn platform hebben gevonden, weigeren voor $ 3 miljoen aan digitale activa uit zijn schatkist terug te geven.
In een reeks X-posts legde Nick Percoco, de hoofdveiligheidsfunctionaris van Kraken, uit hoe de gebeurtenis zich ontvouwde.
White Hat-hackers halen $ 3 miljoen weg uit de schatkist van Kraken na het melden van een bug
Op 9 juni ontving de cryptobeurs een anonieme tip van een blockchain-beveiligingsonderzoeker over een bug in zijn systeem waardoor gebruikers hun saldo kunstmatig konden opblazen. Door deze fout kan een kwaadwillende aanvaller “onder de juiste omstandigheden” een storting op de beurs doen en geld op zijn rekening ontvangen zonder de transactie volledig te voltooien.
Zodra de bug werd gemeld, ontdekte en repareerde het beveiligingsteam van Kraken het probleem. Perococo merkte op dat er geen gebruikersgelden werden beïnvloed. Het was echter wat daarna kwam dat het team van de beurs verbijsterd achterliet.
Blijkbaar deelde de beveiligingsonderzoeker, nadat hij de bug had ontdekt, de informatie met twee medewerkers. Het blijkt dat in plaats van in eerste instantie een bugbounty-rapport bij Kraken in te dienen, de onderzoeker de fout gebruikte om hun Kraken-account in crypto te crediteren en vervolgens met hun collega’s samenwerkte om ongeveer $3 miljoen aan crypto uit de schatkist van de beurs op te nemen.
In het aanvankelijk ingediende bugrapport werden de transacties van de twee andere personen niet vermeld, maar toen Kraken hen om meer details vroeg en het geld terug wilde geven, weigerden ze.
Perococo zei dat de beveiligingsonderzoekers in plaats daarvan eisten dat Kraken hen een gespeculeerd bedrag zou geven voor de potentiële schade die de bug had kunnen veroorzaken als ze deze niet hadden ontdekt.
Kraken weigert de premie van beveiligingsonderzoekers te betalen voor het overtreden van regels
De veiligheidschef van Kraken veroordeelde deze acties als onethisch en crimineel, en stelde dat de “licentie van een beveiligingsonderzoeker om een bedrijf te hacken” mogelijk wordt gemaakt door het volgen van de regels van het bugbountyprogramma waaraan zij deelnemen.
“Het negeren van die regels en het afpersen van het bedrijf maakt jou en jouw bedrijf tot criminelen”, schreef Perococo.
Bug bounty-programma’s worden door veel cryptobedrijven gebruikt om de robuustheid van hun beveiligingssystemen te testen en tegelijkertijd degenen te stimuleren die te goeder trouw handelen. Ze nodigen externe hackers, zogenaamde ‘white hats’, uit om kwetsbaarheden te vinden, zodat deze kunnen worden verholpen voordat een kwaadwillende actor ze uitbuit.
Om een premie van Kraken te krijgen, moet de witte hoed eerst het probleem ontdekken, het minimumbedrag exploiteren dat nodig is om de bug te bewijzen, de activa teruggeven en een volledig rapport over de kwetsbaarheid verstrekken.
Kraken zei in een blogpost dat het weigerde de onderzoekers hun premie te betalen omdat ze zich niet aan de regels hielden.
Blockchain-beveiligingsbedrijf Certik dacht achter de exploit te zitten
Hoewel de naam van de witte hoed niet is bekendgemaakt, wordt algemeen aangenomen dat het blockchain-beveiligingstechnologiebedrijf Certik is.
Certik had eerder op zijn sociale mediakanalen gepost dat het verschillende kwetsbaarheden op Kraken had gevonden tijdens het uitvoeren van “meerdaagse tests”. Ze waarschuwden dat de bug zou kunnen worden uitgebuit om voor miljoenen dollars aan crypto te creëren.
De on-chain beveiligingsonderzoeker schreef dat miljoenen op de account van elke Kraken-gebruiker kunnen worden gestort en dat een enorme hoeveelheid ‘verzonnen crypto’ ter waarde van meer dan een miljoen dollar van die rekening kan worden opgenomen en kan worden omgezet in ‘geldige crypto’s’. Certik uitte ernstige zorgen dat de fout tijdens de testperiode geen enkele waarschuwing in de systemen van Kraken veroorzaakte.
Certik meldde echter dat de zaken verkeerd gingen na de eerste gesprekken met Kraken. Ze zeiden in een X-post dat het beveiligingsteam van Kraken zijn werknemers had bedreigd om een niet-overeenkomende hoeveelheid crypto “in een onredelijke tijd” terug te betalen, zonder zelfs maar een terugbetalingsadres op te geven.
Kraken behandelt het incident nu als een misdaad en werkt samen met wetshandhavingsinstanties om het verloren geld terug te halen. “We zijn teleurgesteld door deze ervaring”, vertelde een woordvoerder van het bedrijf aan de media.
Meer nieuws: Bitcoin Daalt Onder De $65.000 Terwijl De Cryptomarkt Instort
