Kripto borsası Kraken, adı açıklanmayan bir güvenlik araştırmacısının, platformundaki “son derece kritik” bir sıfır gün açığından yararlanarak 3 milyon dolarlık dijital varlıkları çaldığını ve bunları iade etmeyi reddettiğini ortaya çıkardı.
Olayın ayrıntıları şöyleydi Paylaşıldı Kraken’in Baş Güvenlik Görevlisi Nick Percoco, X’te (eski adıyla Twitter), başka hiçbir ayrıntı paylaşmadan “platformumuzdaki dengelerini yapay olarak şişirmelerine izin veren” bir hata hakkında Bug Bounty programı uyarısı aldığını belirtti
Şirket, bir saldırganın “platformumuza para yatırma işlemi başlatmasına ve para yatırma işlemini tam olarak tamamlamadan hesabına para almasına” izin veren uyarıyı aldıktan birkaç dakika sonra bir güvenlik sorunu tespit ettiğini söyledi.
Kraken, hiçbir müşteri varlığının sorunla karşı karşıya olmadığını vurgularken, bunun bir tehdit aktörünün hesaplarındaki varlıkları basmasına olanak tanıyabileceğini vurguladı. Sorunun 47 dakika içinde çözüldüğü belirtildi.
Ayrıca kusurun, müşterilerin para yatırmasına ve bunları temizlenmeden önce kullanmasına olanak tanıyan yakın zamanda yapılan bir kullanıcı arayüzü değişikliğinden kaynaklandığı da belirtildi.
Üstelik daha ileri araştırmalar, biri sözde güvenlik araştırmacısına ait olan üç hesabın bu kusurdan birkaç gün arayla yararlanarak 3 milyon doları hortumladığını ortaya çıkardı.
Percoco, “Bu kişi, finansman sistemimizdeki hatayı keşfetti ve bunu kullanarak hesabına 4 dolarlık kripto para yatırdı” dedi. “Bu, kusuru kanıtlamak, ekibimize bir hata ödül raporu sunmak ve programımızın şartları uyarınca çok büyük bir ödül toplamak için yeterli olurdu.”
“Bunun yerine, ‘güvenlik araştırmacısı’ bu hatayı birlikte çalıştıkları diğer iki kişiye ifşa etti ve bu kişiler hileli bir şekilde çok daha büyük meblağlar elde ettiler. Sonuçta Kraken hesaplarından yaklaşık 3 milyon dolar çektiler. Bu Kraken’in hazinesindendi, diğer müşteri varlıklarından değil.”
Garip bir olay akışında, Kraken, zincir içi aktiviteyi oluşturmak ve çekmiş oldukları fonların iadesini düzenlemek için kullanılan kavram kanıtını (PoC) istismarını paylaşmak üzere kendisine yaklaştığında, bunun yerine, Şirket, varlıkları serbest bırakmak amacıyla belirli bir tutarı ödemek için iş geliştirme ekibiyle iletişime geçer.
Percoco, “Bu beyaz şapkalı bilgisayar korsanlığı değil, gasptır” diyerek ilgili tarafları çalınan fonları iade etmeye çağırdı.
Şirketin adı açıklanmadı ancak Kraken, güvenlik olayını bir ceza davası olarak ele aldığını ve konuyla ilgili kolluk kuvvetleriyle koordinasyon sağladığını söyledi.
Percoco, “Bir güvenlik araştırmacısı olarak, bir şirketi ‘hackleme’ lisansınız, katıldığınız hata ödül programının basit kurallarını takip ederek etkinleştirilir” dedi. “Bu kuralları göz ardı etmek ve şirkete şantaj yapmak ‘hackleme lisansınızı’ iptal eder. Bu sizi ve şirketinizi suçlu yapar.”