Büyük bir kripto para borsası olan Kraken, sözde bir hata ödül raporunun para talebine dönüşmesinin ardından kısa süre önce bir güvenlik ihlalini ve potansiyel gasp girişimini yönetti. Baş Güvenlik Sorumlusu Nick Percoco, hesap bakiyelerini yapay olarak şişirmek için bir kusurdan yararlanıldığını belirterek olayları özetledi. Bu olay, kolluk kuvvetlerinin de dahil olduğu bir soruşturmaya yol açtı. Ayrıca, güvenlik araştırmalarında etik uygulamalara bağlı kalmanın önemini vurguladı.
Kripto para borsasından açıklama geldi
Kriptokoin.com’dan takip ettiğiniz üzere, kripto dünyasında hack ve dolandırıcılık olayları oldukça sık yaşanıyor. Bunlardan birisiyle de kripto para borsası Kraken karşılaştı. Borsanın Baş Güvenlik Sorumlusu Nick Percoco’ya göre, borsa 9 Haziran’da bir hata ödül programı uyarısı aldı. Uyarıda, bir saldırganın platformundaki bakiyesini yapay olarak şişirmesine olanak tanıyan “son derece kritik” bir hata yer alıyordu. Percoco, başvurunun ayrıntılardan yoksun olmasına rağmen incelendiğini söyledi. Bu süreçte, kötü niyetli bir saldırganın platforma para yatırma işlemini başlatmasına ve para yatırma işlemini tam olarak tamamlamadan hesaplarına para almasına izin veren izole bir hata keşfettiklerini belirtti. Percoco, bunun yalnızca belirli bir dizi durumda söz konusu olduğunu kaydetti.
Kraken Security Update:
On June 9 2024, we received a Bug Bounty program alert from a security researcher. No specifics were initially disclosed, but their email claimed to find an “extremely critical” bug that allowed them to artificially inflate their balance on our platform.
— Nick Percoco (@c7five) June 19, 2024
Güvenlik Sorumlusu, hiçbir müşteri varlığının risk altında olmadığının altını çizdi. Ancak, buna rağmen, hatanın, varlık mevduatları tamamen temizlenmeden önce müşterilerin hesaplarını kredilendiren ve kötü niyetli bir saldırganın Kraken hesaplarında “bir süre” etkili bir şekilde “varlık basmasına” izin veren yakın tarihli bir UX değişikliğindeki bir kusurdan kaynaklandığını iddia etti.
Ödül sunumundan önce istismar gerçekleşti
Nick Percoco’ya göre bu hata birkaç saat içinde tamamen düzeltildi. Ancak, daha sonra yapılan bir araştırmada, hatanın birkaç gün içinde üç hesap tarafından istismar edildiğinin ortaya çıktığını söyledi. Percoco, hesaplardan birinin hatayı keşfeden ve bir “güvenlik araştırmacısı” olduğunu iddia eden kişiye KYC’lendiğini iddia etti. Sorumlu, söz konusu kişinin hatadan yararlanarak hesabına 4 dolar yatırdığını, bunun da hatayı kanıtlamak, bir hata ödül raporu hazırlamak ve büyük bir ödül talep etmek için yeterli olduğunu söyledi.
Ancak Kraken’in CSO’su, araştırmacının bunun yerine hatayı birlikte çalıştıkları diğer iki kişiye ifşa ettiğini iddia etti. Ayrıca, bu kişilerin daha sonra Kraken hesaplarından çok daha büyük meblağlar çekerek toplamda yaklaşık 3 milyon dolar elde ettiklerini söyledi. Percoco, “Bu, diğer müşteri varlıklarından değil, Kraken’in hazinelerindendi,” diye açıkladı.
“Bu beyaz şapkalı hackerlık değil, gasp!”
Nick Percoco, Kraken’in faaliyetlerinin tam bir hesabını ve fonların iade edilmesini talep ettiğini söyledi. Ancak araştırmacıların, Kraken hatayı ifşa etmemiş olsalardı istismarın potansiyel boyutunu açıklayana kadar herhangi bir fon iade etmeyi reddettikleri iddia ediliyor. Percoco, “Bu beyaz şapkalı hackerlık değil, düpedüz gasp!” dedi.
Percoco, kripto para borsasının araştırmacılar tarafından taleplerinde “mantıksız” ve “profesyonel olmamakla” suçlandığını ifade etti. Ayrıca, Kraken’in ilgili araştırma firmasını açıklamayacağını belirtti. Ancak hata ödül koşullarının ihlali nedeniyle bunu bir ceza davası olarak ele alacağını sözlerine ekledi. Bu bağlamda Percoco, şu açıklamayı yaptı:
Bu araştırma şirketini açıklamayacağız çünkü eylemlerinden dolayı takdir edilmeyi hak etmiyorlar. Bunu bir ceza davası olarak ele alıyoruz ve buna göre kolluk kuvvetleriyle koordinasyon halindeyiz.
