Waw! Bos Keamanan Kraken Bongkar Bug Habiskan Rp40 Miliar Karena Perubahan Tampilan
Pencurian Jutaan Dolar di Kraken Karena Bug
Sebuah celah keamanan pada sistem pendanaan platform pertukaran mata uang kripto Kraken dieksploitasi oleh "peneliti keamanan" nakal, yang menyebabkan kerugian sebesar $3 juta. Kepala petugas keamanan Kraken, Nick Percoco, mengungkap insiden tersebut, mengutuk pelanggaran standar etika oleh orang-orang yang terlibat.
Celah Keamanan di UX
Tim Kraken awalnya menerima laporan tentang bug potensial pada 9 Juni. Setelah penyelidikan, mereka menemukan "cacat yang berasal dari perubahan UX baru-baru ini" yang memungkinkan akun klien memperoleh akses ke dana sebelum aset mereka disetujui. Hal ini memungkinkan klien untuk berdagang di pasar kripto secara real-time.
Eksploitasi yang Tidak Etis
Percoco mengakui bahwa pertukaran tersebut tidak menguji perubahan UX terhadap serangan serupa sebelum insiden tersebut. Setelah menambal kerentanan tersebut, Kraken menemukan bahwa tiga akun telah mengeksploitasi celah tersebut dalam beberapa hari setelahnya. Alih-alih melaporkan bug secara langsung, "peneliti keamanan" berbagi informasi dengan dua rekannya dan menarik dana sebesar $3 juta dari Kraken.
Bukan "White-Hat Hacking"
Percoco menekankan bahwa laporan awal dari "peneliti keamanan" tidak sepenuhnya mengungkapkan bug tersebut, sehingga tim harus mengonfirmasi ulang beberapa detail sebelum memberikan hadiah. Kraken meminta penjelasan lengkap atas aktivitas mereka, bukti konsep, dan pengembalian dana yang ditarik. Namun, orang-orang itu menolak untuk mematuhinya, yang oleh Percoco digambarkan sebagai "bukan peretasan white-hat" melainkan "pemerasan". Masih belum jelas apakah Kraken telah mengidentifikasi semua penyerang atau berhasil memulihkan dana yang dicuri.
Q: Berapa jumlah kerugian yang dialami Kraken akibat bug keamanan?
A: $3 juta.
Q: Apa yang menyebabkan celah keamanan dalam sistem pendanaan Kraken?
A: Cacat yang berasal dari perubahan UX baru-baru ini, yang memungkinkan klien mengakses dana sebelum aset mereka disetujui.
Q: Siapa yang mengeksploitasi celah keamanan tersebut?
A: Tiga "peneliti keamanan" nakal.
Q: Mengapa tindakan para "peneliti keamanan" tersebut tidak dianggap sebagai "white-hat hacking"?
A: Karena mereka tidak mengungkapkan bug sepenuhnya dan menolak untuk memberikan penjelasan, bukti konsep, dan pengembalian dana.
Q: Apakah Kraken telah berhasil mengidentifikasi semua penyerang dan memulihkan dana yang dicuri?
A: Artikel tersebut tidak memberikan informasi yang jelas mengenai hal ini.