Nick Percoco, Chief Security Officer van Kraken, was onderweg naar Japan voor een welverdiende vakantie toen hij ontdekte dat de crypto-exchange voor $3 miljoen gehackt was. Hij bevond zich op 12 kilometer hoogte toen hij het nieuws via de vliegtuig-Wi-Fi zag.

Op 19 juni meldde Kraken dat een onafhankelijke beveiligingsonderzoeker een kritieke kwetsbaarheid had gemeld via hun bug bounty-programma. Deze programma’s belonen hackers die zwakke plekken in systemen opsporen en melden.

De zwakte stelde de onderzoeker in staat om naar eigen goeddunken geld aan zijn Kraken-accounts toe te voegen. Deze onderzoeker werkte voor CertiK, een beveiligings- en crypto-auditbedrijf, dat zei deze kwetsbaarheid te hebben gevonden.

Over een periode van vijf dagen haalde CertiK $3 miljoen aan cryptocurrencies van het platform. Dit gedrag was zeer ongebruikelijk, omdat beveiligingsbedrijven normaal gesproken niet zoveel geld uit een kwetsbaarheid halen. Uiteindelijk werden de fondsen teruggegeven en was de bug binnen 47 minuten opgelost. Toch was het een schokkende gebeurtenis, zelfs voor de cryptowereld.

Ongebruikelijk Gedrag van CertiK

CertiK leek tijdens deze gebeurtenis bijna alle gangbare regels voor bug bounties te negeren. Ze probeerden zelfs een verkoopgesprek op te zetten met Kraken’s beveiligingsteam terwijl de situatie gaande was. Percoco beschreef dit gedrag als afpersing in plaats van ethisch hacken.

Bug bounty-programma’s zijn gebruikelijk in de crypto- en techindustrie. Elk waardevol crypto-project reserveert geld voor audits van hun smart contracts en voor beloningen aan hackers die bugs ontdekken. Kraken biedt bijvoorbeeld tot $1,5 miljoen voor het melden van kritieke bugs.

Rode Vlaggen en Ongebruikelijke Acties

Er zijn vier basisregels voor het melden van bugs in een bounty-programma:

1. Meld de bug direct na ontdekking.
2. Bewijs dat de bug kan worden geëxploiteerd.
3. Neem alleen genoeg geld om de kwetsbaarheid te bewijzen.
4. Werk samen met het bedrijf om te testen of de bug is opgelost.

CertiK negeerde deze regels volledig volgens Percoco. De eerste melding van CertiK bevatte bijvoorbeeld geen contactinformatie, wat het vertrouwen in hun melding ondermijnde.

Groei van de Crypto-Industrie

Met bedrijven als BlackRock en Fidelity die de cryptowereld betreden, liggen beveiliging en bug bounties onder een vergrootglas. Ondanks het recente incident blijven bedrijven investeren in bug bounty-programma’s. Crypto.com biedt bijvoorbeeld $80.000 voor een kritieke bug, terwijl Fireblocks tot $250.000 geeft voor soortgelijke kwetsbaarheden.

Hoewel bug bounties duur en soms omslachtig zijn, blijven ze noodzakelijk. Dit jaar is er al $664 miljoen gestolen uit de cryptowereld, wat het belang van deze veiligheidsnetten benadrukt.

Conclusie

Kraken’s snelle reactie op de $3 miljoen bug illustreert de constante uitdagingen en het dynamische karakter van de cryptowereld. Ondanks de bizarre acties van CertiK, toont het incident het cruciale belang van robuuste beveiligingsmaatregelen en ethische praktijken in de snel evoluerende crypto-industrie.