Ang Crypto exchange na si Kraken ay nagsabi na ang "mga mananaliksik sa seguridad" na nakakita ng kahinaan sa platform ay naging "pangingikil" pagkatapos mag-withdraw ng humigit-kumulang $3 milyon mula sa treasury ng palitan.

Sinabi ni Nick Percoco, punong opisyal ng seguridad ng Kraken, sa isang post sa social media platform X (dating Twitter) na nakatanggap ang kompanya ng alerto na "bug bounty program" mula sa isang security researcher noong Hunyo 9 tungkol sa isang kahinaan na nagpapahintulot sa mga user na artipisyal na palakihin ang kanilang balanse . "Pinayagan ng bug ang isang malisyosong umaatake, sa ilalim ng tamang mga pangyayari, na magsimula ng deposito sa aming platform at makatanggap ng mga pondo sa kanilang account nang hindi ganap na nakumpleto ang deposito," dagdag ni Percoco.

Nang matanggap ang ulat, mabilis na inayos ni Kraken ang isyu at walang naapektuhang pondo ng gumagamit, sabi ni Percoco.

Ano ang nangyari pagkatapos itinaas ang mga pulang bandila para sa koponan ni Kraken.

Ang security researcher, nang mahanap ang bug, ay di-umano'y isiniwalat ito sa dalawa pang indibidwal, na pagkatapos ay "mapanlinlang" na nag-withdraw ng halos $3 milyon mula sa kanilang mga Kraken account. "Ito ay mula sa mga treasuries ng Kraken, hindi sa iba pang mga asset ng kliyente," sabi ni Percoco.

Ang paunang ulat ng bug ay T binanggit ang mga transaksyon ng dalawang iba pang mga indibidwal, at nang humingi si Kraken ng higit pang mga detalye ng kanilang mga aktibidad, tumanggi sila.

"Sa halip, humingi sila ng tawag sa kanilang business development team (ibig sabihin, ang kanilang mga sales rep) at hindi sumang-ayon na ibalik ang anumang pondo hanggang sa magbigay kami ng ispekulasyon na $ na halaga na maaaring naidulot ng bug na ito kung hindi nila ito isiwalat. Hindi ito puti. -pag-hack ng sumbrero, ito ay pangingikil!" Sumulat si Percoco.

T ibinunyag ni Kraken kung sino ang mga mananaliksik, ngunit pagkatapos ay sinabi ng editor ng blockchain code na si Certik sa isang post sa social media na nakakita ito ng ilang mga kahinaan sa palitan ng Crypto .

Sinabi ni Certik na nagsagawa ito ng "multi-day testing" at binanggit na ang bug ay maaaring pagsamantalahan upang lumikha ng milyun-milyong dolyar na halaga ng Crypto. "Maaaring i-deposito ang milyun-milyong dolyar sa ANUMANG Kraken account. Malaking halaga ng gawa-gawang Crypto (nagkakahalaga ng higit sa 1M+ USD) ang maaaring ma-withdraw mula sa account at ma-convert sa mga wastong cryptos. Mas masahol pa, walang na-trigger na alerto sa panahon ng multi-day testing period," sabi ng post.

Gayunpaman, sinabi ni Certik na naging magulo ang mga bagay pagkatapos ng unang pag-uusap kay Kraken. "BINABANTA ng pangkat ng operasyon ng seguridad ng Kraken ang mga indibidwal na empleyado ng CertiK na magbayad ng MISMATCHED na halaga ng Crypto sa isang HINDI makatwirang oras kahit na WALANG nagbibigay ng mga address sa pagbabayad," idinagdag ng X post.

Ang mga bug bounty program – ginagamit ng maraming kumpanya para palakasin ang kanilang mga sistema ng seguridad – ay nag-iimbita ng mga third-party na hacker, na kilala bilang "white hat," upang maghanap ng mga kahinaan upang maayos ang mga ito ng kumpanya bago sila pagsamantalahan ng isang malisyosong aktor. Ang katunggali ng Kraken, ang Coinbase, ay may katulad na programa upang makatulong na alertuhan ang pagpapalitan ng mga kahinaan.

Upang mabayaran ang bounty, ang programa ng Kraken ay nangangailangan ng isang ikatlong partido upang mahanap ang problema, pagsamantalahan ang pinakamababang halaga na kinakailangan upang patunayan ang bug, ibalik ang mga asset at magbigay ng mga detalye ng kahinaan, sinabi ni Kraken sa isang post sa blog , idinagdag na mula noong mga mananaliksik ng seguridad T Social Media sa mga patakarang ito, T nila makukuha ang bounty.

"Nakipag-ugnayan kami sa mga mananaliksik na ito nang may magandang loob at, alinsunod sa isang dekada ng pagpapatakbo ng isang bug bounty program, ay nag-alok ng malaking bounty para sa kanilang mga pagsisikap. Nabigo kami sa karanasang ito at nakikipagtulungan na kami ngayon sa mga ahensyang nagpapatupad ng batas upang makuha ang mga asset mula sa mga mananaliksik sa seguridad na ito," sinabi ng isang tagapagsalita ng Kraken sa CoinDesk.

Read More: Ang Iyong Crypto Project ay Nangangailangan ng Sheriff, Hindi isang Bounty Hunter

I-UPDATE (Hunyo 19, 18:30 UTC): Ina-update ang buong kwento upang magdagdag ng mga komento ni Certik.