Cryptobeurs Kraken meldt dat er drie miljoen dollar gestolen is door ‘beveiligingsonderzoekers’. De onderzoekers in kwestie misbruikten een beveiligingslek dat inmiddels door het platform is gedicht.
Chief Security Officer Nick Percoco van Kraken deelt het incident op X. Daar vertelt hij dat de cryptobeurs op 9 juni bericht kreeg van een beveiligingsonderzoeker over een kwetsbaarheid in het platform, waardoor Kraken-gebruikers hun saldo konden verhogen.
Kraken startte na de melding direct een onderzoek naar de kwetsbaarheid en vond volgens Percoco binnen enkele minuten het probleem. Door een fout in het platform kon een aanvaller een storting starten, maar het geld werd al bijgeschreven voordat de storting voltooid was. Daardoor hoefde de storting dus niet te worden afgerond om toch geld binnen te krijgen.
Het probleem werd snel verholpen, maar achteraf ontdekte het team dat drie accounts de kwetsbaarheid hadden misbruikt. Een van die accounts was van iemand die zegt beveiligingsonderzoeker te zijn. “Dit individu ontdekte de fout in ons financieringssysteem en misbruikte het om zijn eigen account te crediteren met 4 dollar aan crypto”, aldus Percoco.
“Dit was voldoende geweest om de fout te bewijzen, een bugbountymelding te doen bij ons team en een substantiële beloning te krijgen volgens de voorwaarden van ons programma.” Maar de onderzoeker zou het lek in plaats daarvan hebben gedeeld met twee anderen met wie de persoon werkte. In totaal namen zij bijna 3 miljoen dollar aan cryptocurrency op, stelt de cryptobeurs nu. Het geld is van Kraken zelf en komt niet uit gebruikerstegoeden.
Kraken heeft de onderzoeker gevraagd het geld terug te geven, maar die weigert, zegt Percoco. Ook zou die persoon hebben geweigerd een verslag van zijn activiteiten en een proof of concept te verstrekken. In plaats daarvan wil de onderzoeker een gesprek om te bepalen hoe groot de financiële schade zou zijn als die het probleem niet had gemeld. “Dit is geen whitehathacking, dit is afpersing”, aldus Percoco.
De cso zegt dat hij het incident en de informatie over de kwetsbaarheid naar buiten brengt met het oog op transparantie. Ook zegt hij dat Kraken samenwerkt met justitie om de zaak verder af te handelen. Voor welk bedrijf de beveiligingsonderzoeker werkt of wie deze persoon is, is niet bekendgemaakt.
Kraken Security Update:
On June 9 2024, we received a Bug Bounty program alert from a security researcher. No specifics were initially disclosed, but their email claimed to find an “extremely critical” bug that allowed them to artificially inflate their balance on our platform.
— Nick Percoco (@c7five) June 19, 2024
Update, 17.35 uur: Percoco meldt intussen dat het gestolen geld weer terugbetaald is aan Kraken.
Update, 18.05 uur: Het beveiligingsbedrijf CertiK beweert achter de ‘whitehatoperatie’ hebben gezeten en zegt ook dat alle gestolen valuta teruggestort zijn. Volgens de organisatie werd de aanval op de cryptobeurs niet gedaan om een bugbounty te verdienen.
Leave a Reply
You must be logged in to post a comment.