Thomas Daniels
Die Amerikaanse cryptocurrency-beurs Kraken het vroeg in Junie 'n verlies van $3 miljoen gely ná 'n uitbuiting in sy befondsingstelsel. Die oortreding, wat toegeskryf word aan skelm sekuriteitsnavorsers, is in die openbaar deur Nick Percoco, hoofsekuriteitsbeampte van Kraken, op sosiale media bekend gemaak.
Volgens Percoco, Kraken het op 9 Junie vir die eerste keer 'n foutverslag van 'n beweerde "sekuriteitsnavorser" ontvang. Die fout, wat voortspruit uit 'n onlangse gebruikerservaring (UX)-opdatering, het gebruikers toegelaat om hul rekeninge te krediteer voor bateklaring, wat ongemagtigde intydse handel moontlik gemaak het. Percoco het erken dat die UX-verandering nie teen hierdie spesifieke aanvalvektor getoets is voor ontplooiing nie.
"Hierdie UX-verandering is nie deeglik getoets teen hierdie spesifieke aanvalsvektor nie," het Percoco gesê.
Daaropvolgende ondersoeke het aan die lig gebring dat die kwesbaarheid by drie afsonderlike geleenthede uitgebuit is voordat dit reggemaak is. In plaas daarvan om etiese openbaarmakingspraktyke te volg, het die navorser na bewering die uitbuiting met twee medepligtiges gedeel, wat gelei het tot die onwettige onttrekking van byna $3 miljoen uit Kraken se reserwes.
Die sekuriteitsnavorser se aanvanklike foutverslag was onvolledig, wat verdere verifikasie nodig het voordat enige beloning vir die identifisering van die fout oorweeg word. Kraken se versoek vir 'n gedetailleerde weergawe van hul optrede, 'n bewys van konsep en die terugbetaling van die gesteelde fondse is geweier, wat Percoco as "afpersing" veroordeel het, wat afwyk van standaard etiese inbraakprotokolle.
Kraken het tot dusver nie uitgeklaar of hulle al die betrokke partye geïdentifiseer het of die verlore bates teruggekry het nie.
