Özellikle merkeziyetsiz finans ve akıllı kontratlar konusundaki güvenlik çalışmalarıyla bilinen CertiK, merkezi bir borsa olan Kraken’de büyük açıklar tespit ettiğini duyurdu.
“Sahte kripto, gerçekmiş gibi çekilebilir”
İlk etapta Kraken’de yatırıma işlemleriyle ilgili bazı hatalar bulunduğunu belirten CertiK, buradan yola çıkarak başka ve önemli açıkların da tespit edildiğini ifade etti:
“Kraken’in para yatırma sisteminde, bazı farklılıkların ayırt edilemediğini gördük ve araştırmamızı daha da derinleştirdik. Araştırmalarımızı 3 soru etrafında yürüttük.
- Kötü niyetli biri, Kraken’in bir hesabında olmayan kripto paraları, oraya yatırmış gibi gösterebilir mi?
- Aynı kişi, ürettiği gerçek olmayan bu fonları gerçekmiş gibi borsadan çekebilir mi?
- Büyük bir çekim talebi geldiğinde, Kraken hangi varlık koruma sistemlerini devreye sokmaktadır?
Yaptığımız denemeler sonucunda Kraken’in bu testlerin hiçbirinden geçemediğini gördük. Kraken’in savunma mekanizmalarının, çeşitli yerlerde geçilebildiğini tespit ettik. Sonuç olarak, Kraken’in herhangi bir hesabına milyonlarca dolarlık, sonradan üretilme ve gerçek olmayan kripto yatırılabilir ve bunlar gerçek kripto paraya çevrilip hesaptan çekilebilir”
“Hesapları kapayıp tehdit ettiler”
CertiK’in açıklaması sadece bunlarla sınırlı da kalmadı. Firma, Kraken’e gerekli uyarıların yapıldığını ancak bu uyarıların ardından hem hesapların kapatıldığını hem de kendilerinden makul olmayan bir süre içerisinde, çekilen kripto paraların karşılığının istendiğini ifade etti:
“Kraken’e gerekli bilgiler sağlandıktan sonra, şirketin güvenlik birimi sorunu ‘Kritik’ olarak işaretledi, ki bu onların en yüksek seviye güvenlik sınıflandırmasıdır. Çeşitli iyi niyetli bazı konuşmaların ardından ise, bizim çalışanlarımızı, çekilen ve aslında gerçekleriyle eşleşmemeiş bile olan kripto paraların geri ödenmesi konusunda tehdit ettiler. Ödeme istemelerine rağmen, bir adres bile göndermediler”
CertiK son olarak, kripto dünyası ve Web3 topluluğu için çalışmaya devam edeceğini belirtti ve “Kraken’i, iyi niyetli olan hacker’lara gönderdiği tehditleri sonlandırması konusunda uyarıyoruz” dedi.
Kraken’den açıklama: 3 milyon dolar çaldılar
Öte yandan Kraken’in baş güvenlik sorumlusu Nick Percoco ise konuyla ilgili X’ten açıklama yaptı. Sorunun bildirilmesinden sonra, kısa sürede ekiplerin harekete geçtiğini ve açıkların kapatıldığını ifade eden yönetici, güvenlik araştırmacısı olduğunu söyleyen kişilerin ise Kraken’den 3 milyon dolar çaldığını belirtti:
“Bu güvenlik araştırmacısı, ilk başta hesaptan 4 dolarlık bir çekim yaptı ve hatayı kanıtladı. Aslında bu, açığın görülmesi için yeterliydi. Bu kişi, hatayı ödül ekibimize ilettikten sonra önemli miktarda para alabilirdi. Ama kendisi, açığı başka iki kişiye de söyledi. Bu kişiler, Kraken’den 3 milyon dolar çekim yaptılar. Bu para müşterilerin değil, Kraken’indi. İlk raporda, bu işlemle ilgili detaylar yoktu. Biz onlardan raporun tam halini istedik, yine geri dönüş sağlamadılar. Bu iyi niyetli bir hacker durumu değil,gasptır”