Crypto beurs Kraken verliest 3 miljoen door hack na beveiligingsfout
|
Crypto beurs Kraken werd onlangs slachtoffer van een beveiligingslek, waarbij bijna $3 miljoen werd gestolen. Op 9 juni 2024 meldde Nick Percoco, de Chief Security Officer van Kraken, op social media platform X dat een beveiligingsonderzoeker een fout had ontdekt. Aanvankelijk leek dit geen probleem te zijn, maar nu blijkt dat er miljoenen van Kraken gestolen zijn.
Fout bij Kraken zorgt voor miljoenen diefstal
Deze fout stelde gebruikers in staat om hun saldo kunstmatig te verhogen, waardoor geld in hun account verscheen zonder dat er daadwerkelijk een storting was gedaan. Kraken reageerde snel op deze melding en herstelde de fout, waardoor het geld van gebruikers veilig bleef.
De situatie verslechterde toen bleek dat de onderzoeker de fout had gedeeld met twee anderen. Deze personen gebruikten de fout om ongeveer $3 miljoen van de rekeningen van Kraken te halen. De onderzoekers hadden geen ethische bedoelingen. Toen Kraken om meer informatie vroeg, eisten de onderzoekers een gesprek met Kraken’s verkoopteam en weigerden het gestolen geld terug te geven zonder eerst te onderhandelen over een beloning.
Kraken Security Update:
On June 9 2024, we received a Bug Bounty program alert from a security researcher. No specifics were initially disclosed, but their email claimed to find an “extremely critical” bug that allowed them to artificially inflate their balance on our platform.
— Nick Percoco (@c7five) June 19, 2024
Certik ontdekt nog meer zwaktes bij Kraken
Daarnaast onthulde Certik, een blockchain code editor, dat zij ook enkele kwetsbaarheden in Kraken’s platform hadden ontdekt. Uit hun tests bleek dat de fout grote hoeveelheden nep-cryptocurrency kon genereren, die vervolgens in echte activa konden worden omgezet zonder dat er veiligheidswaarschuwingen werden geactiveerd.
CertiK recently identified a series of critical vulnerabilities in @krakenfx exchange which could potentially lead to hundreds of millions of dollars in losses.
Starting from a finding in @krakenfx's deposit system where it may fail to differentiate between different internal… pic.twitter.com/JZkMXj2ZCD
— CertiK (@CertiK) June 19, 2024
Het bug bounty-programma van Kraken
Kraken heeft, net als veel andere bedrijven, een bug bounty-programma om hun beveiliging te verbeteren door ethische hackers te belonen voor het melden van fouten. Dit programma vereist dat de vinder de fout meldt, het minimale bedrag exploiteert om de fout aan te tonen, het geld teruggeeft en volledige details van de kwetsbaarheid verstrekt. Omdat de onderzoekers zich niet aan deze regels hielden, weigerde Kraken de beloning te betalen.
“We hebben in goed vertrouwen met deze onderzoekers samengewerkt en een aanzienlijke beloning aangeboden,” vertelde een woordvoerder van Kraken. “Helaas kwamen hun acties niet overeen met ethisch hacken, en we werken nu samen met de wetshandhavingsinstanties om het gestolen geld terug te krijgen.”
