Kraken verliest bijna $3 miljoen door bug exploit: beveiligingsonderzoekers beschuldigd van afpersing

Home » Nieuws » Kraken verliest bijna $3 miljoen door bug exploit: beveiligingsonderzoekers beschuldigd van afpersing

Op 9 juni ontving crypto beurs Kraken een melding via hun bug bounty-programma. Nick Percoco, Chief Security Officer van Kraken, verklaarde dat de melding wees op een “extreem kritieke” bug die een aanvaller in staat stelde hun saldo kunstmatig te verhogen.

Hoewel het rapport weinig details bevatte, ontdekte Kraken een geïsoleerde fout waarmee een kwaadwillende aanvaller een storting kon initiëren en fondsen op hun account kon ontvangen zonder de storting volledig af te ronden. Dit was mogelijk onder een specifieke set van omstandigheden.

Impact en herstel van de bug

Percoco benadrukte dat geen klantactiva risico liepen. De bug kwam voort uit een fout in een recente wijziging van de gebruikerservaring (UX) die klantaccounts crediteerde voordat stortingen volledig waren verwerkt.

Hierdoor kon een aanvaller tijdelijk “activa printen” op hun Kraken-account. De bug werd binnen enkele uren volledig verholpen.

kraken bug tweet nick percoco
Bron: Nick Percoco op X.

Uitbuiting en fraude

Een nadere inspectie onthulde echter dat de bug al door drie accounts was geëxploiteerd binnen enkele dagen na elkaar. Eén van deze accounts was gekoppeld aan de persoon die de bug had ontdekt en zich voordeed als een “beveiligingsonderzoeker”. Deze persoon gebruikte de bug om hun account met $4 te crediteren, genoeg om de fout aan te tonen en een bug bounty-rapport in te dienen.

Volgens Percoco had de onderzoeker de bug echter aan twee andere individuen onthuld, die vervolgens bijna $3 miljoen van hun Kraken-rekeningen opnamen. Dit geld kwam uit de schatkist van Kraken, niet uit andere klantactiva.

Reactie van Kraken en verdere ontwikkelingen

Kraken vroeg om een volledig overzicht van hun activiteiten en om de fondsen terug te geven. De onderzoekers weigerden echter de fondsen terug te geven totdat Kraken het potentiële verliesbedrag bekendmaakte als zij de bug niet hadden onthuld. “Dit is geen ethisch hacken, dit is afpersing!” zei Percoco.

De onderzoekers beschuldigden Kraken van onredelijkheid en onprofessioneel gedrag. Hoewel Kraken de betrokken onderzoeksgroep niet bekendmaakte, zei Percoco dat het bedrijf dit als een strafzaak behandelt vanwege de schending van de voorwaarden van het bug bounty-programma.

“We zullen dit onderzoeksbedrijf niet bekendmaken omdat zij geen erkenning verdienen voor hun acties. We behandelen dit als een strafzaak en werken samen met wetshandhavingsinstanties,” aldus Percoco.

Avatar foto
over de auteur

Jacko Meijaard begon zijn crypto-reis in de bullrun van het jaar 2017-2018 en is zich door de jaren steeds meer gaan verdiepen in cryptocurrencies, met name Bitcoin en Ethereum. Door zijn journalistieke achtergrond hoopt hij zoveel mogelijk mensen kundig te maken over cryptocurrencies en alles wat er mee te maken heeft.

Coinliners weekly

Elke week het belangrijkste crypto nieuws in je mailbox

© Copyright 2024 Coinliners.nl
Powered by WordPress | Mercury Theme