Kripto para alım satım platformu Kraken, iki haftadan kısa bir süre önce hatayla ilgili bir saldırıda neredeyse 3 milyon dolar kaybettiğini bildirdi.
Olay, sektörü istila etmeye devam eden güvensizlikleri ve güvenlik açıklarını vurguluyor.
Kraken Bir Hata Saldırısında 3 Milyon Dolar Kaybetti
Kraken, 9 Haziran’da gerçekleşen bir hata saldırısında kötü niyetli bireylerin yaklaşık 3 milyon dolar çaldığını açıkladı. Kraken Baş Güvenlik Sorumlusu Nick Percoco tarafından paylaşılan rapora göre, borsa bir hata ödül programı uyarısı aldı:
“9 Haziran 2024’te bir güvenlik araştırmacısından Bug Bounty programı uyarısı aldık. Başlangıçta hiçbir ayrıntı açıklanmadı ancak e-postaları platformumuzdaki bakiyelerini yapay olarak şişirmelerine izin veren ‘son derece kritik’ bir hata bulduğunu iddia etti.”
CSO, daha sonra yapılan bir soruşturmanın kötü niyetli aktöre haksız ayrıcalıklar veren münferit bir hatayı ortaya çıkardığını belirtti. Bu insanlar, Kraken Borsası’nda para yatırma işlemi başlatabilir ve para yatırma işlemini tam olarak tamamlamamış olsalar bile hesaplarına para alabilirler.
Daha fazla oku: Kraken Kripto Para Borsası Rehberi
Adli bir analiz, Kraken’in platformunda yakın zamanda yapılan bir kullanıcı deneyimi (UX) değişikliğinde bir güvenlik açığı olduğunu ortaya çıkardı. Bu kusur, kötü niyetli bir saldırganın bir süreliğine hesabındaki varlıkları “yazdırmasına” izin verdi. Daha da önemlisi, hiçbir müşteri varlığı tehlikeye atılmadı ve sorun düzeltildi. Bununla birlikte, sonraki bir araştırma üç hesabın birkaç gün arayla hatadan yararlandığını keşfetti.
Percoco, konuyla ilgili aşağıdaki ifadeyi kullandı:
“Riski giderdikten sonra durumu iyice araştırdık ve 3 hesabın birkaç gün arayla bu kusurdan yararlandığını çabucak keşfettik. Daha derine indikçe, bir hesabın güvenlik araştırmacısı olduğunu iddia eden bir kişiye ait olduğunu fark ettik.”
Bir güvenlik araştırmacısı, Kraken’in fonlama sisteminde bir hata keşfetti ve hesabına 4 dolar değerinde kripto para yatırdı. Bu miktar, kusuru göstermek ve Kraken’in programı kapsamında önemli bir ödül kazanacak bir hata ödül raporu sunmak için yeterliydi.
Araştırmacı hatayı iki meslektaşıyla paylaştı ve onlar da hileli bir şekilde çok daha büyük meblağlar elde etmek için onu kullandı. Bu durum, müşteri varlıklarından ziyade Kraken’in hazinesinden alınan yaklaşık 3 milyon dolarlık bir kayba yol açtı.
Daha fazla oku: En İyi Kripto Para Borsaları Arasından Yeni Başlayanlar için 9 Seçenek
Olay, kripto platformunun araştırmacılardan fonları geri almaya çalışmasının ardından bir gasp vakasıyla sonuçlandı. Kraken, zincir üstü etkinliği oluşturmak için kullanılan kavram kanıtı ve çekilen fonları iade etmek için düzenlemeler de dahil olmak üzere araştırmacıların faaliyetlerinin tam bir hesabını talep etti.
Percoco, aşağıdaki açıklamayı yaptı:
“Bu güvenlik araştırmacıları reddetti. Bunun yerine, iş geliştirme ekipleriyle bir görüşme talep ettiler ve bu hatayı ifşa etmemiş olsalardı neden olabileceği tahmini bir miktar sağlamadığımız sürece herhangi bir parayı iade etmeyi kabul etmediler. Bu beyaz şapkalı hackleme değil, gasp!”
Kraken, bu olayı bir ceza davası olarak ele aldı ve kolluk kuvvetleriyle iş birliği yapmayı taahhüt etti. Araştırma şirketi ise açıklanmadı.
Trusted
Sorumluluk Reddi
Sorumluluk Reddi: Trust Project yönergelerine uygun olarak BeInCrypto, haberlerde tarafsız ve şeffaf raporları garanti eder. Bu haber makalesi doğru ve güncel bilgi vermeyi amaçlamaktadır. Ancak okuyucuların bu içeriğe dayalı herhangi bir karar vermeden önce tüm bilgileri bağımsız olarak doğrulamaları ve bir profesyonele danışmaları tavsiye edilir.
