Kraken, Araştırma Ekibinin 3 Milyon Dolarlık İstismarını Ortaya Çıkardı, Kriminal Soruşturma Başlattı

Siber güvenlik ve blockchain teknolojisinde geniş deneyime sahip bir araştırmacı olarak, Kraken borsasıyla ilgili son olayı derinden endişe verici buluyorum. Kritik bir güvenlik açığının istismar edilerek 3 milyon dolar değerindeki dijital varlığın çalınmasıyla sonuçlanması endişe verici. Ancak bu durumu daha da sıkıntılı hale getiren şey, araştırma ekibinin bariz gasp girişimidir.


Birkaç gün önce önde gelen kripto para borsalarından Kraken, önemli bir güvenlik ihlaline maruz kaldıklarını açıkladı. Ne yazık ki bu olay, bir araştırma grubunun platformdaki yaklaşık 3 milyon dolarlık dijital varlığı kötüye kullanmasına neden oldu.

9 Haziran’da, kendisini güvenlik araştırmacısı olarak tanıtan bir kişi tarafından, şirketin hata ödül programı aracılığıyla bildirilen bir aksaklık olay ekibinin dikkatine sunuldu. Platformdaki hesap bakiyesini yanlışlıkla artırmasına olanak tanıyan önemli bir sorunu ortaya çıkardığını iddia etti.

Durumdaki beklenmedik gelişme, araştırmacı ve ekibinin zayıflıktan yararlanarak büyük miktarda fon elde ettiklerinin ortaya çıkmasıyla ortaya çıktı. Buna yanıt olarak Kraken, bu suiistimalle ilgili ceza soruşturması başlattı ve durumu ele almak için ilgili kolluk kuvvetleriyle işbirliği yapıyor.

Kraken Gasp Girişimiyle Karşı Karşıya

Siber güvenlik olaylarını araştıran bir araştırmacı olarak, olası bir güvenlik açığına ilişkin ilk raporu aldıktan sonra Kraken’in güvenlik şefi Nick Percoco’nun konuyu derinlemesine incelemek ve kapsamlı bir araştırma yürütmek için derhal çok disiplinli bir ekip oluşturduğunu anlatacağım.

Bir araştırmacı olarak, kötü niyetli bir aktörün para yatırma işlemini başlatabileceği, işlemi bitirmeden önce başarılı bir şekilde fon alabileceği ve bir Kraken hesabında geçici olarak varlık oluşturabileceği sistemdeki bir sorunu hızlı bir şekilde tespit ettim.

Kritik bir güvenlik açığı tespit edildi ve ekip tarafından bir saat içinde derhal giderilerek tekrarının önlenmesi sağlandı. Bu sorun, bu özel tehdit senaryosu için kapsamlı testlerden geçmemiş olan, varlık temizliğinden önce gerçek zamanlı kripto ticaretini mümkün kılan yeni bir kullanıcı deneyimi (UX) özelliğinden kaynaklandı.

Kısa bir süre içinde üç hesabın belirlenen güvenlik açığından yararlandığı tespit edildi. Bu hesaplardan birinin, kendisini güvenlik araştırmacısı olarak tanıtan, hatayı açıklayan ve sorunun kanıtı olarak minimum miktarda kripto para alan bir kişiye ait olduğuna inanılıyor.

Bir analist olarak, Kraken’in sisteminde önemli bir hata ödülü ödülü kazanmak için istismar edilebilecek önemli bir güvenlik açığını ortaya çıkardım. Ancak bu bulguyu sorumlu bir şekilde bildirmek yerine iki arkadaşıma güvenmeyi tercih ettim. Ne yazık ki, bu kişiler durumdan yararlandı ve sistemi, hak ettiği miktardan çok daha büyük meblağlar üretecek şekilde manipüle etti. Sonunda üçümüz Kraken’in hazinesinden şaşırtıcı bir şekilde 3 milyon dolar çektik.

Kraken iade edilen fonları istediğinde araştırmacılar, iş geliştirme ekipleriyle görüşmekte ısrar ederek ve tanımlanamayan hatanın gizlenmesi halinde neden olabileceği tahmini bir zarar önererek reddettiler.

Araştırma Şirketine Dava Açılması

Kraken, açıklamasında ekibimizin kullandığı yöntemleri şiddetle kınadı ve eylemlerimizi etik hackleme uygulamaları olarak kabul etmek yerine “gasp” olarak nitelendirdi.

Borsa, neredeyse on yıldır, gerçek araştırmacılarla hiçbir sorunla karşılaşmadığı ve yerleşik yönergelere tutarlı bir şekilde bağlı kaldığı bir Bug Bounty programını yürütüyor. Bu kurallar, doğrulama için gereken minimum düzeyin ötesinde istismardan kaçınılmasını, kusurun işe yarayan bir gösteriminin sunulmasını ve ele geçirilen varlıkların anında geri getirilmesini içerir.

Kraken borsasının baş güvenlik görevlisi, son olayı cezai bir mesele olarak gördüklerini ve şu anda soruşturmalarında kolluk kuvvetleriyle işbirliği yaptıklarını belirtti. Raporu kabul etmelerine rağmen Kraken, olaydan sorumlu araştırma firmasına karşı yasal işlem başlatmayı planlıyor.

Kraken, Araştırma Ekibinin 3 Milyon Dolarlık İstismarını Ortaya Çıkardı, Kriminal Soruşturma Başlattı

2024-06-20 03:11