
Den amerikanske kryptovalutabørs Kraken led et tab på $3 millioner i begyndelsen af juni efter en udnyttelse i sit finansieringssystem. Bruddet, der tilskrives useriøse sikkerhedsforskere, blev offentliggjort af Krakens sikkerhedschef Nick Percoco på sociale medier.
Ifølge Percoco, Kraken modtog først en fejlrapport fra en påstået "sikkerhedsforsker" den 9. juni. Fejlen, der stammer fra en nylig opdatering af brugeroplevelsen (UX), tillod brugere at kreditere deres konti før aktivgodkendelse, hvilket muliggjorde uautoriseret handel i realtid. Percoco indrømmede, at UX-ændringen ikke var blevet testet mod denne særlige angrebsvektor før implementering.
"Denne UX-ændring blev ikke grundigt testet mod denne specifikke angrebsvektor," udtalte Percoco.
Efterfølgende undersøgelser viste, at sårbarheden var blevet udnyttet ved tre separate lejligheder, før den blev rettet. I stedet for at følge etisk afsløringspraksis, delte forskeren angiveligt udnyttelsen med to medskyldige, hvilket førte til den ulovlige tilbagetrækning af næsten 3 millioner dollars fra Krakens reserver.
Sikkerhedsforskerens indledende fejlrapport var ufuldstændig, hvilket krævede yderligere verifikation, før man overvejede en belønning for at identificere fejlen. Krakens anmodning om en detaljeret redegørelse for deres handlinger, et proof of concept og tilbagelevering af de stjålne midler blev afvist, hvilket Percoco fordømte som "afpresning", der afviger fra standard etiske hacking-protokoller.
På nuværende tidspunkt har Kraken ikke afklaret, om de har identificeret alle involverede parter eller inddrevet de tabte aktiver.