In een onverwachte wending onthulde Kraken, een toonaangevende cryptocurrency exchange, op 19 juni dat het al maandenlang te maken had met een bug waarmee gebruikers gratis geld konden genereren in hun accounts.
Dit probleem kwam aan het licht nadat beveiligingsonderzoeker Kraken waarschuwde voor een extreem kritieke bug in hun systeem.
Is kraken nu in de problemen?
Deze bug leidde tot de opname van minstens $3 miljoen aan digitale activa, wat de krantenkoppen haalde. Nicholas Percoco, Chief Security Officer van Kraken, merkte op X (voorheen Twitter) op:
Ondanks dit incident waren de activa van geen enkele klant ooit in gevaar.
Bron: Nicholas Percoco
Percoco legde verder uit dat gebruikers geld konden crediteren op hun Kraken accounts door stortingen te maken zonder het storingsproces daadwerkelijk te voltooien. Hij zei:
Een kwaadwillende aanvaller kon gedurende een bepaalde tijd effectief activa creëren in hun Kraken account.
Bron: Nicholas Percoco
De beveiligingsonderzoeker gebruikte de bug om hun account met $4 in cryptocurrency te crediteren, wat genoeg zou zijn geweest om het probleem te melden en een beloning te claimen.
Maar in plaats van het probleem te melden, deelde de onderzoeker het met twee medeplichtigen, die bijna $3 miljoen van Kraken opnamen.
Reactie van Kraken naar aanleiding van deze bug
Als reactie op de zorgen van gebruikers rondom dit probleem, beweerde Kraken:
Dit kwam uit de liquide middelen van Kraken, niet uit andere klantactiva.
Bron: Kraken
Onverwachte reactie van de onderzoekers
Het spreekt voor zich dat toen Kraken de onderzoekers vroeg het geld terug te geven en details te verstrekken, wat een standaardpraktijk is voor bug bounty programma’s, ze weigerden mee te werken.
Percoco reageerde hierop:
We worden beschuldigd van onredelijk en onprofessioneel gedrag omdat we ‘white hat hackers’ vragen terug te geven wat ze van ons hebben gestolen. Ongelofelijk.
Bron: Nicholas Percoco
De beveiligingsonderzoeker aan het woord
De zaak escaleerde toen blockchain beveiligingsfirma CertiK zich publiekelijk identificeerde als de beveiligingsonderzoeker. Ze zeiden:
Na aanvankelijke succesvolle gesprekken over het identificeren en oplossen van de kwetsbaarheid, heeft het beveiligingsteam van Kraken individuele CertiK medewerkers BEDREIGD om een NIET OVEREENKOMEND bedrag aan crypto terug te betalen in een ONREDELIJKE tijd, zelfs ZONDER terugbetaling wallets te verstrekken.
Bron: CertiK
Dit werd aanvankelijk bekritiseerd, zoals benadrukt door Lefteris Karapetsas, oprichter van Rotkiapp, die zei:
Dit is schokkend gedrag van CertiK. Verantwoordelijke openbaarmaking vereist ethisch gedrag.
Bron: Rotkiapp
Met CertiK’s staat van dienst in het identificeren van kwetsbaarheden, blijft de uitkomst voor de exchange onzeker.
Wil je altijd op de hoogte blijven? Volg ons dan op Google Nieuws.
Ontvang 10 euro gratis crypto
In samenwerking met Bitvavo mogen wij 10 euro gratis cryptocurrency weggeven aan onze lezers. Dit is een exclusieve samenwerking met de grootste exchange van Nederland. Daarnaast mag je ook €10.000 volledig gratis handelen op het platform, dit heeft een waarde van 25 euro.
Start jouw cryptoavontuur met een welkomst cadeau van 10 euro en maak jouw account aan via onderstaande knop.
