Kraken kripto borsası bugün, iddia edilen güvenlik araştırmacılarının sıfır günlük bir web sitesi hatasından yararlanarak 3 milyon dolarlık kripto para birimini çaldığını ve ardından fonları iade etmeyi reddettiğini açıkladı.
Hack, X kanalında Kraken Baş Güvenlik Görevlisi Nick Percoco tarafından açıklandı ve borsanın güvenlik ekibinin 9 Haziran’da herkesin Kraken cüzdanındaki bakiyeleri yapay olarak artırmasına izin veren “son derece kritik” bir hata hakkında belirsiz bir hata raporu aldığını açıkladı.
Kraken, raporu araştırdıklarını ve saldırganların para yatırma işlemini başlatmasına ve para yatırma işlemi başarısız olsa bile parayı almasına olanak tanıyan bir hata keşfettiklerini söyledi.
Percoco, “Birkaç dakika içinde izole bir hata keşfettik. Bu, kötü niyetli bir saldırganın, doğru koşullar altında, platformumuza para yatırma işlemi başlatmasına ve para yatırma işlemini tam olarak tamamlamadan hesaplarına para almasına olanak sağladı” diye açıkladı Percoco.
“Açık olmak gerekirse, hiçbir müşterinin varlığı hiçbir zaman risk altında değildi. Ancak kötü niyetli bir saldırgan, Kraken hesabındaki varlıkları bir süreliğine etkili bir şekilde yazdırabilir.”
Percoco, Kraken güvenlik ekibinin kusuru bir saat içinde düzelttiğini ve bunun, müşterilerin para yatırmasına ve bunları temizlenmeden önce kullanmasına olanak tanıyan yakın zamanda yapılan bir kullanıcı arayüzü değişikliğinden kaynaklandığını keşfettiğini söyledi.
İşlerin tuhaf bir hal aldığı yer burası.
Hatayı düzelttikten sonra, üç kullanıcının bunu sıfır gün olarak kullanarak borsanın hazinesinden 3 milyon dolar çaldığını keşfettiler.
Üyelerden biri, araştırmacı olduğunu iddia eden ve hatayı kanıtlamak için hesabına 4 dolar kripto para yatırmak için kullanan bir kişiyle bağlantılıydı.
Ancak Percoco, hatanın araştırmacıyla ilişkili iki kişiye daha açıklandığını ve bu kişilerin bunu Kraken hesaplarından çalınan 3 milyon dolarlık ek parayı çekmek için kullandıklarını söylüyor.
Bu geri çekilmeyle ilgili olarak araştırmacıyla iletişime geçtikten sonra Percoco, araştırmacıların kriptoyu iade etmeyi veya bir hata açıklamasında beklendiği gibi güvenlik açığıyla ilgili herhangi bir bilgiyi paylaşmayı reddettiğini söyledi.
Percoco, “Bunun yerine, iş geliştirme ekipleriyle (yani satış temsilcileriyle) bir görüşme talep ettiler ve biz, bu hatanın ifşa edilmemesi halinde neden olabileceği tahmin edilen $ tutarını sağlayana kadar herhangi bir parayı iade etmeyi kabul etmediler” dedi.
“Bu beyaz şapkalı bilgisayar korsanlığı değil, gasptır!”
Percoco, Kraken’in araştırmacıların kimliğini açıklamadığını, çünkü araştırmacıların “eylemlerinden ötürü tanınmayı hak etmediklerini” söylüyor.
Kraken şimdi bunu bir ceza davası olarak ele aldıklarını ve kolluk kuvvetlerine bilgi verdiklerini söylüyor.
BleepingComputer daha fazla bilgi için Kraken ile temasa geçti ve bir yanıt alırsak hikayeyi güncelleyecek.