Kraken Dieksploitasi Hampir $3 Juta karena Bug
Kraken, sebuah bursa kripto terkenal, baru-baru ini mengungkapkan bahwa sebuah bug memungkinkan orang untuk menyimpan uang ke akun mereka tanpa benar-benar menyelesaikan setoran. Bug ini dieksploitasi hingga hampir $3 juta dari kas Kraken sebelum diperbaiki. Kepala Keamanan (CSO) Kraken membagikan perincian tentang insiden ini.
Penemuan Bug
Pada tanggal 9 Juni, program hadiah bug Kraken menerima peringatan tentang bug yang “sangat kritis”. Peringatan ini dikirim oleh seorang periset keamanan yang menyadari sebuah kelemahan serius. Menurut CSO Kraken, Nick Percoco, bug ini memungkinkan seseorang untuk meningkatkan saldo akun mereka secara artifisial. Ini berarti mereka dapat memulai setoran dan menerima dana tanpa menyelesaikan proses setoran.
Cara Kerja Bug
Bug tersebut disebabkan oleh perubahan terbaru dalam desain Pengalaman Pengguna (UX) platform Kraken. Kelemahan ini memungkinkan akun dikreditkan sebelum setoran aset sepenuhnya dihapus. Hal ini memungkinkan penyerang untuk “mencetak aset” di akun mereka untuk sementara. Namun, Percoco memastikan bahwa tidak ada aset klien yang berisiko; masalahnya ada pada dana kas Kraken sendiri.
Eksploitasi Sebelum Perbaikan
Kraken dengan cepat memperbaiki bug tersebut dalam beberapa jam setelah peringatan. Namun, investigasi mengungkapkan bahwa tiga akun telah mengeksploitasi bug tersebut dalam beberapa hari. Salah satu akun ini milik periset keamanan yang menemukan bug tersebut. Individu ini mengaku sedang menguji kelemahan tersebut dengan mengkreditkan akun mereka sebesar $4. Mereka kemudian mengajukan laporan bug dan mengklaim hadiah.
Eksploitasi Lebih Besar oleh Rekan
Situasi menjadi lebih serius ketika diketahui bahwa periset tersebut telah membagikan bug tersebut kepada dua orang lainnya. Orang-orang ini menggunakan bug tersebut untuk menarik jumlah yang jauh lebih besar, total hampir $3 juta, dari kas Kraken. Percoco mengklarifikasi bahwa uang ini berasal dari dana Kraken, bukan aset klien.
Respons Kraken
Kraken meminta para periset untuk mengembalikan dana tersebut dan memberikan laporan lengkap tentang aktivitas mereka. Namun, para periset menolak mengembalikan uang tersebut kecuali Kraken mengungkapkan potensi besar dari eksploitasi tersebut. Percoco menyebut permintaan ini sebagai pemerasan, yang menyatakan bahwa itu bukanlah tindakan peretasan etis.
Tindakan Hukum dan Langkah Keamanan
Karena pelanggaran ketentuan program hadiah bug, Kraken memutuskan untuk memperlakukan kasus ini sebagai pidana. Mereka memilih untuk tidak mengungkapkan nama perusahaan riset yang terlibat, karena mereka yakin perusahaan tersebut tidak layak mendapat pengakuan. Sebaliknya, Kraken berkoordinasi dengan lembaga penegak hukum untuk menangani situasi tersebut.
Pentingnya Program Hadiah Bug
Insiden ini menyoroti pentingnya program hadiah bug dalam mengidentifikasi dan memperbaiki kerentanan. Program hadiah bug dirancang untuk memberi penghargaan kepada para periset yang menemukan dan melaporkan bug. Namun, hal ini juga menunjukkan potensi risiko ketika periset tidak mengikuti pedoman etika.
Melindungi Bursa Kripto
Bursa kripto seperti Kraken harus terus meningkatkan langkah-langkah keamanan mereka untuk melindungi diri dari eksploitasi semacam itu. Hal ini mencakup pengujian menyeluruh terhadap fitur-fitur baru dan respons cepat terhadap setiap masalah yang dilaporkan. Dengan melakukan hal tersebut, mereka dapat menjaga platform mereka dan memelihara kepercayaan pengguna mereka.
Insiden eksploitasi bug baru-baru ini di Kraken menjadi pengingat akan tantangan yang dihadapi oleh bursa kripto. Dengan hampir $3 juta diambil dari kasnya, Kraken bertindak cepat untuk memperbaiki bug tersebut dan sekarang tengah mengambil tindakan hukum terhadap mereka yang bertanggung jawab. Kasus ini menggarisbawahi pentingnya langkah-langkah keamanan yang kuat dan praktik etis dalam industri kripto.