Kraken mengaku diperas oleh seorang peneliti keamanan melalui laporan bug bounty. Dalam keterangan resminya, dijelaskan bahwa aksi yang seharusnya berbentuk white hat hacker justru berubah menjadi tindak kriminal yang menuntut informasi tertentu untuk pengembalian dana.
Bug bounty sendiri merupakan salah satu strategi dari perusahaan teknologi yang berupaya mendapatkan umpan balik positif dari peneliti keamanan atas sistem yang tengah dibangunnya. Penyelenggara biasanya akan memberikan hadiah dalam jumlah tertentu kepada pihak yang berhasil menemukan celah keamanan di platform.
Namun menurut Kraken, hal itu berubah menjadi pemerasan. Hal ini karena oknum yang mengaku sebagai peneliti keamanan malah menarik hampir US$3 juta dari perbendaharaan perusahaan dan menuntut informasi tertentu sebagai gantinya.
Chief Security Officer (CSO) Kraken, Nick Percoco, melalui utas X (sebelumnya Twitter), menjelaskan bahwa pada 9 Juni lalu, perusahaan menerima peringatan program bug bounty dari pihak tertentu. Di situ mereka mengeklaim menemukan bug dalam kategori “sangat kritis” yang memungkinkan pengguna untuk meningkatkan saldonya secara artifisial melalui fitur setoran palsu.
“Setelah mengatasi risiko tersebut, perusahaan melakukan penyelidikan dan menemukan bahwa terdapat 3 akun yang memanfaatkan celah tersebut selama beberapa hari, dan salah satunya adalah mereka yang mengaku sebagai peneliti keamanan,” jelas Percoco.
Kraken Klaim Dana Klien Tetap Aman
Percoco menuturkan, dana yang berhasil ditarik bukanlah aset klien, dan dana pengguna tetap aman. Dia menambahkan, para pelaku meminta informasi terkait potensi kerugian yang mungkin disebabkan oleh bug tersebut sebagai bentuk barter atas dana yang sudah ditarik
Meskipun tidak dijelaskan lebih jauh siapa perusahaan yang dimaksud, dalam pandangan Percoco, mereka adalah lembaga riset keamanan blockchain yang sudah tersertifikasi, dan Kraken menolak untuk mengungkapkan siapa entitas tersebut.
“Kami memperlakukan hal ini sebagai kasus pidana dan berkoordinasi dengan lembaga penegak hukum. Perusahaan tidak akan memberikan penghargaan ini kepada mereka karena tidak memenuhi ekspektasi industri,” tegas Percoco.
Ditambah, perusahaan mengaku juga sudah melakukan pembaruan sistem yang diakibatkan oleh bug tersebut untuk memastikan bahwa kejadian serupa tidak terulang lagi.
CertiK Sudah Transfer Dananya Kembali
Belakangan diketahui, perusahaan keamanan yang dimaksud adalah CertiK. Dalam utas X, perusahaan menjelaskan bahwa pihaknya telah mengembalikan dana yang ditemukan dari kerentanan di Kraken.
Perusahaan bahkan menuduh bahwa salah satu karyawan Kraken mengancam stafnya untuk membayar kembali sejumlah kripto yang tidak sesuai dengan penarikannya tanpa memberikan alamat pembayaran.
“Karena Kraken belum memberikan alamat pembayaran dan meminta pengembalian dana yang tidak sesuai, perusahaan mengembalikan dana berdasarkan catatan internal ke rekening yang bisa diakses oleh Kraken,” jelas CertiK.
Dalam temuannya, CertiK mengungkapkan bahwa sistem pertahanan Kraken bisa dikompromikan di berbagai bidang dan jutaan dolar dalam bentuk kripto palsu bisa disetorkan ke akun Kraken dan ditarik menjadi kripto valid.
Menurutnya, selama periode pengujian, Kraken tidak melakukan peringatan dan hanya merespons dengan mengunci akun pengujian beberapa hari setelah pelaporan secara resmi.
Bagaimana pendapat Anda tentang topik ini? Yuk, sampaikan pendapat Anda di grup Telegram kami. Jangan lupa follow akun Instagram dan Twitter RedaksiNusa Indonesia, agar Anda tetap update dengan informasi terkini seputar dunia kripto!
Penyangkalan
Seluruh informasi yang terkandung dalam situs kami dipublikasikan dengan niat baik dan bertujuan memberikan informasi umum semata. Tindakan apa pun yang dilakukan oleh para pembaca atas informasi dari situs kami merupakan tanggung jawab mereka pribadi.