Kraken exchange $3 miljoen het hele verhaal toegelicht

In een onverwachte wending onthulde Kraken, een toonaangevende cryptocurrency exchange, op 19 juni dat het al maandenlang te maken had met een bug waarmee gebruikers gratis geld konden genereren in hun accounts.

Dit probleem kwam aan het licht nadat beveiligingsonderzoeker Kraken waarschuwde voor een extreem kritieke bug in hun systeem.

Is kraken nu in de problemen?

Deze bug leidde tot de opname van minstens $3 miljoen aan digitale activa, wat de krantenkoppen haalde. Nicholas Percoco, Chief Security Officer van Kraken, merkte op X (voorheen Twitter) op:

Ondanks dit incident waren de activa van geen enkele klant ooit in gevaar. Bron: Nicholas Percoco

Kraken Security Update: On June 9 2024, we received a Bug Bounty program alert from a security researcher. No specifics were initially disclosed, but their email claimed to find an “extremely critical” bug that allowed them to artificially inflate their balance on our platform.

— Nick Percoco (@c7five) · June 19, 2024

Percoco legde verder uit dat gebruikers geld konden crediteren op hun Kraken accounts door stortingen te maken zonder het storingsproces daadwerkelijk te voltooien. Hij zei:

Een kwaadwillende aanvaller kon gedurende een bepaalde tijd effectief activa creëren in hun Kraken account. Bron: Nicholas Percoco

To be clear, no client’s assets were ever at risk. However, a malicious attacker could effectively print assets in their Kraken account for a period of time.

— Nick Percoco (@c7five) · June 19, 2024

De beveiligingsonderzoeker gebruikte de bug om hun account met $4 in cryptocurrency te crediteren, wat genoeg zou zijn geweest om het probleem te melden en een beloning te claimen.

Maar in plaats van het probleem te melden, deelde de onderzoeker het met twee medeplichtigen, die bijna $3 miljoen van Kraken opnamen.

Reactie van Kraken naar aanleiding van deze bug

Als reactie op de zorgen van gebruikers rondom dit probleem, beweerde Kraken:

Dit kwam uit de liquide middelen van Kraken, niet uit andere klantactiva. Bron: Kraken

Onverwachte reactie van de onderzoekers

Het spreekt voor zich dat toen Kraken de onderzoekers vroeg het geld terug te geven en details te verstrekken, wat een standaardpraktijk is voor bug bounty programma’s, ze weigerden mee te werken.

Percoco reageerde hierop:

We worden beschuldigd van onredelijk en onprofessioneel gedrag omdat we ‘white hat hackers’ vragen terug te geven wat ze van ons hebben gestolen. Ongelofelijk. Bron: Nicholas Percoco

De beveiligingsonderzoeker aan het woord

De zaak escaleerde toen blockchain beveiligingsfirma CertiK zich publiekelijk identificeerde als de beveiligingsonderzoeker. Ze zeiden:

Na aanvankelijke succesvolle gesprekken over het identificeren en oplossen van de kwetsbaarheid, heeft het beveiligingsteam van Kraken individuele CertiK medewerkers BEDREIGD om een NIET OVEREENKOMEND bedrag aan crypto terug te betalen in een ONREDELIJKE tijd, zelfs ZONDER terugbetaling wallets te verstrekken. Bron: CertiK

CertiK recently identified a series of critical vulnerabilities in @krakenfx exchange which could potentially lead to hundreds of millions of dollars in losses. Starting from a finding in @krakenfx 's deposit system where it may fail to differentiate between different internal…

— CertiK (@CertiK) · June 19, 2024

Dit werd aanvankelijk bekritiseerd, zoals benadrukt door Lefteris Karapetsas, oprichter van Rotkiapp, die zei:

Dit is schokkend gedrag van CertiK. Verantwoordelijke openbaarmaking vereist ethisch gedrag. Bron: Rotkiapp

Met CertiK’s staat van dienst in het identificeren van kwetsbaarheden, blijft de uitkomst voor de exchange onzeker.