Cryptocurrencybeurs Kraken meldt dat een onderzoeksteam 3 miljoen dollar aan crypto heeft verkregen (of gestolen) via een recent ontdekte bug. Een anonieme, zelfbenoemde “beveiligingsonderzoeker” vond op 9 juni een kritieke beveiligingsfout en waarschuwde Kraken.
Volgens Nicholas Percoco, hoofd beveiliging bij Kraken, gebruikten twee accounts die aan de onderzoeker zijn gelinkt, de bug om meer dan 3 miljoen dollar aan digitale activa op te nemen.
Ethisch hacken of chantage?
Na deze opname eist de onderzoeker een beloning voor de gestolen fondsen, schreef Percoco op 19 juni op het X:
‘In plaats daarvan eisten ze een gesprek met hun business development team (dus hun verkoopvertegenwoordigers) en weigerden ze de fondsen terug te geven, totdat we een geschat bedrag noemen dat deze bug zou hebben veroorzaakt als ze het niet hadden gemeld. Dit is geen ethisch hacken, dit is chantage!’
De cryptocurrency werd direct uit de wallets van Kraken gestolen. De beurs verzekert dat geen gebruikersfondsen in gevaar zijn gebracht.
Bug bounty programma
Kraken zet zijn bug bounty programma’s voort om de veiligheid van de beurs te waarborgen en werkt samen met de wetshandhaving om de gestolen fondsen terug te krijgen, vertelde een woordvoerder van Kraken.
‘We zijn teleurgesteld door deze ervaring en werken nu samen met wetshandhavingsinstanties om de activa van deze beveiligingsonderzoekers terug te halen.’
Een van de drie Kraken-accounts die aan de exploit zijn gelinkt, voltooide eerder de Know Your Customer (KYC) verificatie voor een persoon die beweert een beveiligingsonderzoeker te zijn, maar zijn identiteit blijft onbekend.
Van 4 dollar naar 3 miljoen
De onderzoeker toonde aanvankelijk de bug aan met een crypto-overdracht ter waarde van 4 dollar, wat voldoende zou zijn geweest om de bug te bewijzen en een “aanzienlijke beloning” te krijgen uit Kraken’s bounty programma.
Echter, de onderzoeker deelde de bug met twee andere accounts die vervolgens frauduleus bijna 3 miljoen dollar opnamen van hun Kraken-accounts.
Volgens Kraken’s Percoco lijkt dit gedrag meer op chantage dan op dat van een ethische hacker:
‘In de geest van transparantie maken we deze bug vandaag bekend aan de industrie. We worden beschuldigd van onredelijk en onprofessioneel gedrag omdat we vragen dat ‘white hat hackers’ teruggeven wat ze van ons hebben gestolen. Ongelofelijk.’
The post Hacker chanteert cryptobeurs Kraken met 3 miljoen dollar aan crypto appeared first on BLOX | Nieuws.