Dev Kripto Para Borsasından Hack Açıklaması: Kayıp Var, Önlem Alındı!

Büyük bir kripto para borsası olan Kraken, kelamda bir kusur ödül raporunun para talebine dönüşmesinin akabinde kısa mühlet evvel bir güvenlik ihlalini ve potansiyel gasp teşebbüsünü yönetti. Baş Güvenlik Sorumlusu Nick Percoco, hesap bakiyelerini yapay olarak şişirmek için bir kusurdan yararlanıldığını belirterek olayları özetledi. Bu olay, kolluk kuvvetlerinin de dahil olduğu bir soruşturmaya yol açtı. Ayrıyeten, güvenlik araştırmalarında etik uygulamalara bağlı kalmanın ehemmiyetini vurguladı.

Kripto para borsasından açıklama geldi

Kriptokoin.com’dan takip ettiğiniz üzere, kripto dünyasında hack ve dolandırıcılık olayları epey sık yaşanıyor. Bunlardan birisiyle de kripto para borsası Kraken karşılaştı. Borsanın Baş Güvenlik Sorumlusu Nick Percoco’ya nazaran, borsa 9 Haziran’da bir yanılgı ödül programı uyarısı aldı. İhtarda, bir saldırganın platformundaki bakiyesini yapay olarak şişirmesine imkan tanıyan “son derece kritik” bir yanılgı yer alıyordu. Percoco, müracaatın detaylardan mahrum olmasına karşın incelendiğini söyledi. Bu süreçte, makus niyetli bir saldırganın platforma para yatırma sürecini başlatmasına ve para yatırma sürecini tam olarak tamamlamadan hesaplarına para almasına müsaade veren izole bir kusur keşfettiklerini belirtti. Percoco, bunun sırf belli bir dizi durumda kelam konusu olduğunu kaydetti.

Güvenlik Sorumlusu, hiçbir müşteri varlığının risk altında olmadığının altını çizdi. Lakin, buna karşın, kusurun, varlık mevduatları büsbütün temizlenmeden evvel müşterilerin hesaplarını kredilendiren ve makus niyetli bir saldırganın Kraken hesaplarında “bir süre” tesirli bir biçimde “varlık basmasına” müsaade veren yakın tarihli bir UX değişikliğindeki bir kusurdan kaynaklandığını tez etti.

Ödül sunumundan evvel istismar gerçekleşti

Nick Percoco’ya nazaran bu kusur birkaç saat içinde büsbütün düzeltildi. Fakat, daha sonra yapılan bir araştırmada, yanlışın birkaç gün içinde üç hesap tarafından istismar edildiğinin ortaya çıktığını söyledi. Percoco, hesaplardan birinin yanılgıyı keşfeden ve bir “güvenlik araştırmacısı” olduğunu sav eden şahsa KYC’lendiğini sav etti. Sorumlu, kelam konusu kişinin kusurdan yararlanarak hesabına 4 dolar yatırdığını, bunun da yanılgıyı kanıtlamak, bir kusur ödül raporu hazırlamak ve büyük bir ödül talep etmek için kâfi olduğunu söyledi.

Ancak Kraken’in CSO’su, araştırmacının bunun yerine yanılgıyı birlikte çalıştıkları başka iki şahsa ifşa ettiğini argüman etti. Ayrıyeten, bu bireylerin daha sonra Kraken hesaplarından çok daha büyük meblağlar çekerek toplamda yaklaşık 3 milyon dolar elde ettiklerini söyledi. Percoco, “Bu, öbür müşteri varlıklarından değil, Kraken’in hazinelerindendi,” diye açıkladı.

“Bu beyaz şapkalı hackerlık değil, gasp!”

Nick Percoco, Kraken’in faaliyetlerinin tam bir hesabını ve fonların iade edilmesini talep ettiğini söyledi. Fakat araştırmacıların, Kraken yanılgıyı ifşa etmemiş olsalardı istismarın potansiyel boyutunu açıklayana kadar rastgele bir fon iade etmeyi reddettikleri tez ediliyor. Percoco, “Bu beyaz şapkalı hackerlık değil, düpedüz gasp!” dedi.

Percoco, kripto para borsasının araştırmacılar tarafından taleplerinde “mantıksız” ve “profesyonel olmamakla” suçlandığını söz etti. Ayrıyeten, Kraken’in ilgili araştırma firmasını açıklamayacağını belirtti. Lakin yanılgı ödül şartlarının ihlali nedeniyle bunu bir ceza davası olarak ele alacağını kelamlarına ekledi. Bu bağlamda Percoco, şu açıklamayı yaptı:

Bu araştırma şirketini açıklamayacağız zira aksiyonlarından ötürü takdir edilmeyi hak etmiyorlar. Bunu bir ceza davası olarak ele alıyoruz ve buna nazaran kolluk kuvvetleriyle uyum halindeyiz.