Siber güvenlik alanında geçmişi olan bir analist olarak Kraken’in sıfır gün güvenlik açığıyla ilgili son deneyimini hem endişe verici hem de merak uyandırıcı buluyorum. Sorunu tespit etmek ve çözmek için verilen hızlı tepki övgüye değer, ancak mevduatların tahsil edilmesinden önce fonların olası manipülasyonuna izin vermesi rahatsız edici.
Bir kripto para piyasası analisti olarak bunu şu şekilde ifade edebilirim: Önde gelen küresel kripto ticaret platformu Kraken’in bir siber saldırı yaşadığını itiraf ettiğini öğrendim. Bu saldırı, tanımlanamayan ve benzeri görülmemiş bir güvenlik açığından etkili bir şekilde yararlanarak milyonlarca değere sahip önemli miktarda kripto para hırsızlığına neden oldu.
Bu istismar açıklandı
9 Haziran 2024’te Kraken, Bug Bounty araştırmacılarından birinden ağda önemli bir sorun olduğunu bildiren bir e-posta aldı. Kraken’in Baş Güvenlik Görevlisi Nick Percoco tarafından açıklanan bu güvenlik açığı, bir saldırganın sitedeki bilanço rakamlarını mevcut fonların ötesinde tahrif etmesine olanak tanıdı.
Bir kripto yatırımcısı olarak, bir saldırganın para yatırma ve çekme işlemleri için doğrulama sürecini atlayabildiği endişe verici bir sorunla karşılaştım. Daha basit bir ifadeyle, para yatırma işlemi onaylanmadan önce hesabıma para girip çıkabiliyorlardı. Bu güvenlik açığı derhal ele alınmazsa ciddi mali kayba yol açabilir.
Hızlı Yanıt ancak yeterince hızlı değil
Kraken yalnızca 47 dakika içinde uyarıyı hızlı bir şekilde ele aldı ve güvenlik sorununu çözdü. Temel nedenin, müşterilerin mevduatları işlemesine ve daha sonra bu işlemler takas odası tarafından tanınmadan önce fonları kullanmasına olanak tanıyan, yakın zamanda uygulamaya konan bir kullanıcı arayüzü özelliği olduğu belirlendi.
Sızma sırasında Kraken, hiçbir gerçek müşteri fonunun kötüye kullanılmadığını ileri sürdü. Ancak sistemdeki bir aksaklık, kötü niyetli kişilerin bunun yerine sahte para birimiyle işlem yapmasına olanak tanıdı.
Bir kripto yatırımcısı olarak son zamanlarda alışılmadık bir faaliyet modeli fark ettim. Bir hafta içinde üç farklı hesap aynı işlemi denedi; her biri borsadan 3 milyon dolar çekmeye çalıştı. Bu hesaplardan biri, daha önce sistemdeki bir hatayı kamuya açıklayan bir güvenlik araştırmacısına aitti.
İlk bildirilen güvenlik açığıyla ilgili olarak Percoco, bundan yararlanmak isteyen bir saldırganın örnek olarak kripto para birimine yalnızca 4 dolar harcadığını belirtti. Ancak bu minimum yatırım, bir hata raporu göndermek ve bir ödül almak için yeterliydi. Ancak araştırmacı bunun yerine kusurun ayrıntılarını diğer iki kişiyle paylaşmayı tercih etti. Birlikte Kraken’in fonlarından 3 milyon dolara yakın para çalmayı başardılar.
Etik ikilem mi, gasp mı?
Bir kripto yatırımcısı olarak Kraken benden çalınan fonları geri vermemi ve bir kavram kanıtı (PoC) istismarı sunmamı isteseydi, karşılığında ödeme talep etmeden bunu yapmalarını beklerdim. Bana göre bu ödeme talebi gasp olarak değerlendiriliyor ve benim desteklediğim beyaz şapkalı bilgisayar korsanlığının etik standartlarına aykırıdır.
Kraken ekibi, durumu potansiyel bir suç olarak ele alıyor ve ilgili kolluk kuvvetleriyle işbirliği yapıyor.
Ayrıca Okuyun: ŞOK EDİCİ: Kripto “Domuz Kasaplığı” Dolandırıcılıkları Yükselişte! Bilmen gereken
- Livepeer Fiyat Tahmini 2024, 2025: LPT Fiyatı 100 Doların Ötesine Çıkacak mı?
- ‘Tracker’ 2. Sezon İlk Gösterim Tarihi Onaylandı: Bilinmesi Gereken Her Şey
- Shannen Doherty ve Kurt Iswarienko’nun Boşanması Ölümünden 2 Gün Sonra Onaylandı
- NEDEN Bu Kadar Yüksek? Yeni Cüzdanlar Ay’a $NEDEN Pompalıyor!
- 2024’ün En İyi Donanım Cüzdanları: En İyi 5 Kripto Soğuk Depolama Seçimi
- Hindistan Hükümeti Kripto Parayı Görmezden Geliyor: Birliğin 2024-25 Bütçesinde Bahsetmiyorum
- Kamala Harris, Kripto Tepkisinin Ortasında Ripple CEO’sunda Müttefik Buldu
2024-06-20 09:07