Sinabi ni Kraken na Naging 'Extortion' ang mga Hacker Pagkatapos Pagsamantalahin ang Bug sa halagang $3M

• Sinabi ni Kraken na natagpuan ng mga mananaliksik ng seguridad ng third-party ang isang kahinaan, na naayos ng Crypto exchange.
• Ang mga mananaliksik ay lihim na nag-withdraw ng halos $3 milyon at tumanggi na ibalik ito nang hindi muna nakikita ang halaga ng bounty, sabi ni Kraken.
• Sinabi ng editor ng Blockchain code na si Certik na nakakita ito ng kahinaan sa platform ng Kraken at sinasabing "nabantaan" ng palitan.

Ang Crypto exchange na si Kraken ay nagsabi na ang "mga mananaliksik sa seguridad" na nakakita ng kahinaan sa platform ay naging "pangingikil" pagkatapos mag-withdraw ng humigit-kumulang $3 milyon mula sa treasury ng palitan.

Sinabi ni Nick Percoco, punong opisyal ng seguridad ng Kraken, sa isang post sa social media platform X (dating Twitter) na nakatanggap ang firm ng alerto ng "bug bounty program" mula sa isang security researcher noong Hunyo 9 tungkol sa isang kahinaan na nagpapahintulot sa mga user na artipisyal na palakihin ang kanilang balanse. "Pinayagan ng bug ang isang malisyosong umaatake, sa ilalim ng tamang mga pangyayari, na magsimula ng deposito sa aming platform at makatanggap ng mga pondo sa kanilang account nang hindi ganap na nakumpleto ang deposito," dagdag ni Percoco.

Nang matanggap ang ulat, mabilis na inayos ni Kraken ang isyu at walang naapektuhang pondo ng gumagamit, sabi ni Percoco.

Ano ang nangyari pagkatapos itinaas ang mga pulang bandila para sa koponan ni Kraken.

Ang security researcher, nang mahanap ang bug, ay di-umano'y isiniwalat ito sa dalawa pang indibidwal, na pagkatapos ay "mapanlinlang" na nag-withdraw ng halos $3 milyon mula sa kanilang mga Kraken account. "Ito ay mula sa mga treasuries ng Kraken, hindi sa iba pang mga asset ng kliyente," sabi ni Percoco.

Ang paunang ulat ng bug ay T binanggit ang mga transaksyon ng dalawang iba pang mga indibidwal, at nang humingi si Kraken ng higit pang mga detalye ng kanilang mga aktibidad, tumanggi sila.

"Sa halip, humingi sila ng tawag sa kanilang business development team (i.e. ang kanilang mga sales reps) at hindi sumang-ayon na ibalik ang anumang pondo hanggang sa magbigay kami ng ispekulasyon na $ na halaga na maaaring idulot ng bug na ito kung hindi nila ito isiwalat. Hindi ito white-hat hacking, ito ay pangingikil!" Sumulat si Percoco.

T ibinunyag ni Kraken kung sino ang mga mananaliksik, ngunit kasunod na sinabi ng editor ng blockchain code na si Certik sa isang post sa social media na nakakita ito ng ilang mga kahinaan sa palitan ng Crypto .

Sinabi ni Certik na nagsagawa ito ng "multi-day testing" at binanggit na ang bug ay maaaring pagsamantalahan upang lumikha ng milyun-milyong dolyar na halaga ng Crypto. "Maaaring i-deposito ang milyun-milyong dolyar sa ANUMANG Kraken account. Isang malaking halaga ng gawa-gawang Crypto (nagkakahalaga ng higit sa 1M+ USD) ang maaaring i-withdraw mula sa account at ma-convert sa mga wastong cryptos. Ang mas masahol pa, walang mga alerto na na-trigger sa panahon ng multi-day testing," sabi ng post.

Gayunpaman, sinabi ni Certik na naging magulo ang mga bagay pagkatapos ng unang pag-uusap kay Kraken. "BINABANTA ng pangkat ng operasyon ng seguridad ng Kraken ang mga indibidwal na empleyado ng CertiK na magbayad ng MISMATCHED na halaga ng Crypto sa isang HINDI makatwirang oras kahit na WALANG nagbibigay ng mga address sa pagbabayad," idinagdag ng X post.

Ang mga bug bounty program – ginagamit ng maraming kumpanya para palakasin ang kanilang mga sistema ng seguridad – ay nag-iimbita ng mga third-party na hacker, na kilala bilang "white hat," para maghanap ng mga kahinaan para maayos ng kumpanya ang mga ito bago sila pagsamantalahan ng malisyosong aktor. Ang katunggali ni Kraken, ang Coinbase, ay may isang katulad na programa upang makatulong na alertuhan ang pagpapalitan ng mga kahinaan.

Upang mabayaran ang bounty, ang programa ng Kraken ay nangangailangan ng isang ikatlong partido upang mahanap ang problema, pagsamantalahan ang minimum na halaga na kailangan upang patunayan ang bug, ibalik ang mga asset at magbigay ng mga detalye ng kahinaan, sinabi ni Kraken sa isang post sa blog, idinagdag na dahil T Social Media ng mga mananaliksik ng seguridad ang mga panuntunang ito, T nila makukuha ang bounty.

"Nakipag-ugnayan kami sa mga mananaliksik na ito nang may magandang loob at, in-line sa isang dekada ng pagpapatakbo ng isang bug bounty program, ay nag-alok ng isang malaking bounty para sa kanilang mga pagsisikap. Kami ay nabigo sa karanasang ito at ngayon ay nakikipagtulungan sa mga ahensyang nagpapatupad ng batas upang makuha ang mga asset mula sa mga mananaliksik ng seguridad na ito," sinabi ng isang tagapagsalita ng Kraken sa CoinDesk.

Read More: Ang Iyong Crypto Project ay Nangangailangan ng Sheriff, Hindi ng Bounty Hunter

I-UPDATE (Hunyo 19, 18:30 UTC): Ina-update ang buong kwento upang magdagdag ng mga komento ni Certik.