Volubit.id — Exchange kripto Kraken mengumumkan baru saja memperbaiki bug yang merugikan perusahaannya. Dalam sebuah unggahan di X, Chief Security Officer Kraken Nick Peroco mengatakan, bug tersebut cukup berbahaya karena memungkinkan pengguna untuk mengakali sistem guna meningkatkan saldo dalam akun mereka.
Bug itu ternyata sudah ada dalam sistem sejak Januari lalu, namun baru ditemukan setelah Kraken mendapatkan peringatan bug bounty dari seorang peneliti keamanan anonim pada 9 Juni.
Kraken Security Update:
On June 9 2024, we received a Bug Bounty program alert from a security researcher. No specifics were initially disclosed, but their email claimed to find an “extremely critical” bug that allowed them to artificially inflate their balance on our platform.
— Nick Percoco (@c7five) June 19, 2024
Untungnya, belum ada pelanggan yang melakukan tindak kejahatan dengan memanfaatkan celah dari bug tersebut. Meski demikian, Kraken mengaku tetap mengalami kerugian, bukan dari pelaku kejahatan, melainkan dari peneliti yang pertama kali menemukan bug.
Menurut laporan Decrypt, pada awalnya hanya ada satu peneliti yang menemukan bug dan melaporkannya kepada Kraken. Namun peneliti ini kemudian memberi tahu dua peneliti lainnya terkait bug tersebut.
Peneliti pertama diduga mencoba mengetes bug dengan menambahkan saldo ke dalam akun pribadinya sebesar $4. Namun, peneliti kedua dan ketiga justru memanfaatkan bug tersebut untuk menarik dana dari Kraken sebesar hampir $3 juta.
Para peneliti itu disebut menolak mengikuti prosedur bug bounty dari Kraken dan bahkan menolak mengembalikan dana yang telah ditarik. “Kami menganggap ini sebagai kasus pidana dan kami telah berkoordinasi dengan lembaga penegak hukum,” tulis Perroco.
CertiK Buka Suara
Peneliti yang dituding mencuri dana dari Kraken ternyata berada di bawah naungan perusahaan keamanan blockchain CertiK. Dalam sebuah unggahan di X pada Rabu, 19 Juni 2024, CertiK mengatakan, setelah memberi tahu Kraken tentang bug yang cukup berbahaya, exchange tersebut justru memberikan ancaman terhadap para penelitinya.
CertiK recently identified a series of critical vulnerabilities in @krakenfx exchange which could potentially lead to hundreds of millions of dollars in losses.
Starting from a finding in @krakenfx‘s deposit system where it may fail to differentiate between different internal… pic.twitter.com/JZkMXj2ZCD
— CertiK (@CertiK) June 19, 2024
“Setelah berhasil mengidentifikasi dan memperbaiki bug, tim operasi keamanan Kraken telah MENGANCAM karyawan CertiK untuk mengembalikan sejumlah kripto yang TIDAK SESUAI dalam waktu yang TIDAK WAJAR bahkan TANPA memberikan alamat pembayaran,” kata CertiK.
“Dalam semangat transparansi dan komitmen kami terhadap Web3, kami go public untuk melindungi keamanan semua pengguna. Kami mendesak [Kraken] untuk menghentikan segala ancaman terhadap white hat hackers,” katanya.
CertiK mengunggah timeline kejadian, yang dimulai dengan mengidentifikasi bug pada 5 Juni dan diakhiri dengan klaim bahwa Kraken telah mengancam karyawannya pada 18 Juni. Perusahaan tersebut juga menyatakan telah berencana untuk mentransfer dana yang diambil dua penelitinya ke rekening Kraken.
Komunitas kripto terbelah. Banyak pengguna kripto yang mendukung Kraken karena menilai tindakan yang dilakukan peneliti CertiK bukanlah sebuah aksi white hat hacker. Namun di sisi lain, ada pula yang mendukung CertiK untuk menyelesaikan kasus ini ke jalur hukum.
FROM CLASSROOM
TO THE MOON
Jadilah bagian dari kelas kripto eksklusif pertama di Bandung
Daftar sekarangMEMBERSHIP
Jadilah bagian dari kelas kripto eksklusif pertama di Bandung
Daftar sekarang