Crypto-uitwisseling Kraken zei dat “beveiligingsonderzoekers” die een kwetsbaarheid op het platform ontdekten, tot “afpersing” zijn overgegaan nadat ze ongeveer $3 miljoen uit de wallets van de beurs hadden opgenomen.
Nick Percoco, Chief Security Officer van Kraken, zei in een bericht op sociale mediaplatform X (voorheen Twitter) dat het bedrijf op 9 juni een waarschuwing van een beveiligingsonderzoeker ontving over een kwetsbaarheid waarmee gebruikers hun saldo kunnen verhogen door het misbruiken van een bug.
Kraken Security Update:
— Nick Percoco (@c7five) June 19, 2024
On June 9 2024, we received a Bug Bounty program alert from a security researcher. No specifics were initially disclosed, but their email claimed to find an “extremely critical” bug that allowed them to artificially inflate their balance on our platform.
De bug “liet een kwaadwillende aanvaller, onder de juiste omstandigheden, toe een storting op ons platform te doen en geld op zijn rekening te ontvangen zonder de storting volledig te voltooien”, voegde Percoco eraan toe.
Na ontvangst van het rapport loste Kraken het probleem snel op en er werden geen gebruikersfondsen getroffen, merkte Percoco op.
Wat daarna kwam, zorgde voor rode vlaggen voor het team van Kraken. Toen de beveiligingsonderzoeker de bug ontdekte, zou hij deze aan twee andere personen hebben bekendgemaakt, die vervolgens “op frauduleuze wijze” bijna $ 3 miljoen van hun Kraken-accounts hebben opgenomen. “Dit kwam uit de staatsobligaties van Kraken, niet uit andere activa van klanten”, zei Percoco.
In het eerste bugrapport werden de transacties van de twee andere personen niet vermeld, en toen Kraken om meer details over hun activiteiten vroeg, weigerden ze. “In plaats daarvan eisten ze een telefoontje met hun bedrijfsontwikkelingsteam (d.w.z. hun verkopers) en hebben ze niet ingestemd met het terugstorten van geld totdat we een gespeculeerd bedrag in $ hebben verstrekt dat deze bug zou kunnen hebben veroorzaakt als ze het niet hadden bekendgemaakt. Dit is niet white-hat hacken, het is afpersing!” schreef Percoco.