Kraken slachtoffer van afpersing na ontdekking beveiligingslek
Een fout in het systeem leidde tot een diefstal van minstens $3 miljoen, maar de tegoeden van gebruikers bleven veilig, aldus Kraken.
Cryptocurrency exchange Kraken heeft onthuld dat een onderzoeksteam nog steeds $3 miljoen aan digitale activa in bezit heeft die zij hebben verkregen door een recent ontdekte bug.
Een anonieme ‘security researcher’ ontdekte een kritieke beveiligingsfout en waarschuwde Kraken op 9 juni. Echter, twee accounts die aan deze onderzoeker zijn gekoppeld, hebben de fout misbruikt om meer dan $3 miljoen aan digitale activa op te nemen, volgens Nick Percoco, de Chief Security Officer van Kraken.
Na de grote opname eist de onderzoeker een beloning voor de gestolen fondsen, schreef Percoco op 19 juni in een post op X:
“In plaats daarvan eisten ze een gesprek met hun business development team (hun sales reps) en hebben ze niet ingestemd om fondsen terug te geven totdat we een speculatief bedrag geven dat deze bug had kunnen veroorzaken als ze het niet hadden gemeld. Dit is geen white-hat hacking, het is afpersing!”
De cryptocurrency werd rechtstreeks uit de schatkist van Kraken gestolen. De exchange beweert dat er geen gebruikersfondsen in gevaar waren.
Geen white-hat hacking volgens Kraken
Een van de drie Kraken-accounts die bij de exploit betrokken waren, had eerder de Know Your Customer (KYC) verificatie voltooid voor een persoon die beweerde een security researcher te zijn, maar zijn identiteit blijft onbekend.
De persoon die de bug ontdekte, bewees aanvankelijk de fout met een crypto-transactie van $4, wat voldoende zou zijn geweest om de bug te bewijzen en aanzienlijke beloningen te ontvangen van Kraken’s bounty programma.
Echter, deze persoon deelde de bug met twee andere accounts die frauduleus bijna $3 miljoen van hun Kraken-accounts hebben gestolen.
Volgens Percoco zijn deze acties gelijk aan afpersing, niet aan ethisch hacker-gedrag:
“Uit oogpunt van transparantie onthullen we deze bug vandaag aan de industrie. We worden beschuldigd van onredelijk en onprofessioneel gedrag omdat we vragen dat ‘white-hat hackers’ teruggeven wat ze van ons hebben gestolen. Ongelofelijk.”
Crypto-hacks in 2024 op weg naar recordhoogtes
Crypto-hackers lijken in 2024 een succesvoller jaar te hebben dan in 2023.
In het eerste kwartaal van 2024 stalen hackers digitale activa ter waarde van $542,7 miljoen, een stijging van 42% vergeleken met dezelfde periode in 2023. Opmerkelijk genoeg waren privé-sleutel lekken de belangrijkste oorzaak van de groeiende exploits, niet smart contract-gerelateerde exploits.
Fondsen die verloren gingen door kwetsbaarheden in smart contracts daalden met 92% naar $179 miljoen in 2023, vergeleken met een verbluffende $2,6 miljard in 2022, volgens het “2024 Crypto HackHub Report” van Merkle Science.
Meer dan 55% van de gehackte digitale activa ging in 2023 verloren door privé-sleutel lekken.
De cryptocurrency-industrie heeft de afgelopen 13 jaar 785 gerapporteerde hacks en exploits geleden, wat resulteerde in bijna $19 miljard aan verliezen.