Op 9 juni ontving crypto beurs Kraken een melding via hun bug bounty-programma. Nick Percoco, Chief Security Officer van Kraken, verklaarde dat de melding wees op een “extreem kritieke” bug die een aanvaller in staat stelde hun saldo kunstmatig te verhogen.
Hoewel het rapport weinig details bevatte, ontdekte Kraken een geïsoleerde fout waarmee een kwaadwillende aanvaller een storting kon initiëren en fondsen op hun account kon ontvangen zonder de storting volledig af te ronden. Dit was mogelijk onder een specifieke set van omstandigheden.
Impact en herstel van de bug
Percoco benadrukte dat geen klantactiva risico liepen. De bug kwam voort uit een fout in een recente wijziging van de gebruikerservaring (UX) die klantaccounts crediteerde voordat stortingen volledig waren verwerkt.
Hierdoor kon een aanvaller tijdelijk “activa printen” op hun Kraken-account. De bug werd binnen enkele uren volledig verholpen.
Uitbuiting en fraude
Een nadere inspectie onthulde echter dat de bug al door drie accounts was geëxploiteerd binnen enkele dagen na elkaar. Eén van deze accounts was gekoppeld aan de persoon die de bug had ontdekt en zich voordeed als een “beveiligingsonderzoeker”. Deze persoon gebruikte de bug om hun account met $4 te crediteren, genoeg om de fout aan te tonen en een bug bounty-rapport in te dienen.
Volgens Percoco had de onderzoeker de bug echter aan twee andere individuen onthuld, die vervolgens bijna $3 miljoen van hun Kraken-rekeningen opnamen. Dit geld kwam uit de schatkist van Kraken, niet uit andere klantactiva.
Reactie van Kraken en verdere ontwikkelingen
Kraken vroeg om een volledig overzicht van hun activiteiten en om de fondsen terug te geven. De onderzoekers weigerden echter de fondsen terug te geven totdat Kraken het potentiële verliesbedrag bekendmaakte als zij de bug niet hadden onthuld. “Dit is geen ethisch hacken, dit is afpersing!” zei Percoco.
De onderzoekers beschuldigden Kraken van onredelijkheid en onprofessioneel gedrag. Hoewel Kraken de betrokken onderzoeksgroep niet bekendmaakte, zei Percoco dat het bedrijf dit als een strafzaak behandelt vanwege de schending van de voorwaarden van het bug bounty-programma.
“We zullen dit onderzoeksbedrijf niet bekendmaken omdat zij geen erkenning verdienen voor hun acties. We behandelen dit als een strafzaak en werken samen met wetshandhavingsinstanties,” aldus Percoco.
The post Kraken verliest bijna $3 miljoen door bug exploit: beveiligingsonderzoekers beschuldigd van afpersing appeared first on Coinliners.nl.