Thomas Daniels
Pertukaran mata wang kripto Amerika Kraken mengalami kerugian $3 juta pada awal Jun berikutan eksploitasi dalam sistem pembiayaannya. Pelanggaran itu, yang dikaitkan dengan penyelidik keselamatan penyangak, telah didedahkan secara terbuka oleh Ketua Pegawai Keselamatan Kraken Nick Percoco di media sosial.
Menurut Percoco, Kraken mula-mula menerima laporan pepijat daripada "penyelidik keselamatan" yang dikatakan pada 9 Jun. Kesilapan itu, yang berpunca daripada kemas kini pengalaman pengguna (UX) baru-baru ini, membenarkan pengguna mengkreditkan akaun mereka sebelum pelepasan aset, membolehkan dagangan masa nyata tanpa kebenaran. Percoco mengakui bahawa perubahan UX belum diuji terhadap vektor serangan tertentu ini sebelum penggunaan.
"Perubahan UX ini tidak diuji secara menyeluruh terhadap vektor serangan khusus ini," kata Percoco.
Siasatan seterusnya mendedahkan bahawa kelemahan itu telah dieksploitasi pada tiga kali berasingan sebelum ia ditambal. Daripada mengikuti amalan pendedahan etika, penyelidik didakwa berkongsi eksploitasi dengan dua rakan sejenayah, yang membawa kepada pengeluaran haram hampir $3 juta daripada rizab Kraken.
Laporan pepijat awal penyelidik keselamatan tidak lengkap, memerlukan pengesahan lanjut sebelum mempertimbangkan sebarang ganjaran untuk mengenal pasti kecacatan itu. Permintaan Kraken untuk mendapatkan akaun terperinci mengenai tindakan mereka, bukti konsep, dan pemulangan dana yang dicuri telah ditolak, yang dikutuk oleh Percoco sebagai "pemerasan," menyimpang daripada protokol penggodaman etika standard.
Setakat ini, Kraken tidak menjelaskan sama ada mereka telah mengenal pasti semua pihak yang terlibat atau mendapatkan semula aset yang hilang.
