Bilinen en güvenilir kripto güvenlik sertifikası kuruluşu Certik; kısa süre önce Kraken merkezi kripto borsasında potansiyel olarak yüz milyonlarca dolarlık kayıplara yol açabilecek bir dizi kritik güvenlik açığı tespit etti. İlk olarak Kraken’in para yatırma sisteminde, farklı iç transfer durumlarını ayırt edememe sorununu belirleyen Certik, üç temel soruya odaklanarak yaptığı araştırma sonrasında;
- Kötü niyetli bir aktör, bir Kraken hesabına sahte bir para yatırma işlemi yapabilir mi?
- Kötü niyetli bir aktör, sahte fonları çekebilir mi?
- Büyük bir çekim talebi durumunda hangi risk kontrolleri ve varlık koruma önlemleri devreye girebilir?
Test sonuçlarına göre Kraken borsası bu testlerin hepsinde başarısız oldu. Bu rapora göre; milyonlarca dolar, herhangi bir Kraken hesabına yatırılabilir ve hesaplardan büyük miktarlarda sahte kripto para çekilip geçerli kriptolara dönüştürülebilirdi.
Ve aslında işin enterasan tarafı; Certik çalışanların 2 ya da 3 kişi bu açığı kullanarak toplamda 3 milyon dolarlık bir fonu kraken borsasından çıkardılar. Bu durum hakkında Kraken’e bilgi verildi ve Kraken’in güvenlik ekibi bunu “Kritik” olarak sınıflandırdı: Kraken’deki en ciddi sınıflandırma seviyesi.
Başlangıçta güvenlik açığını belirleme ve düzeltme konusunda başarılı olan Kraken’in güvenlik operasyon ekibi, bireysel Certik çalışanlarını, makul olmayan bir sürede uyumsuz miktarda kriptoyu iade etmeleri için tehdit etti ve iade adreslerini bile sağlamadı.
Certik, bu durumu kamuoyuna açıkladı ve Kraken’in beyaz şapka hackerlarına yönelik tehditleri durdurmasını talep etti.
Kripto borsası Kraken ise isimsiz bir güvenlik araştırmacısının platformundaki “son derece kritik” bir açığı kullanarak 3 milyon dolarlık dijital varlık çaldığını ve bu varlıkları geri vermeyi reddettiğini açıkladı. Olayın detayları, Kraken’in Güvenlik Şefi Nick Percoco tarafından X’te (eski adıyla Twitter) paylaşıldı ve bir hatanın “hesap bakiyelerini yapay olarak artırmalarına” izin verdiği bir Bug Bounty programı uyarısı aldıklarını belirtti.
Kraken, uyarıyı aldıktan birkaç dakika sonra bir güvenlik sorununu tespit ettiğini ve bu sorunun temelde bir saldırganın “platformumuza bir para yatırma işlemi başlatmasına ve yatırma işlemini tamamlamadan hesaplarından fon almasına” izin verdiğini söyledi. Kraken, müşteri varlıklarının bu sorundan etkilenmediğini vurgularken, bu durumun bir tehdit aktörüne hesaplarında varlık yaratma olanağı tanıyabileceğini belirtti. Sorunun 47 dakika içinde çözüldüğünü de ekledi. Ayrıca, sorunun müşterilerin fon yatırmasına ve temizlenmeden önce bu fonları kullanmasına izin veren son bir kullanıcı arayüzü değişikliğinden kaynaklandığını belirtti.
Daha fazla araştırma, sözde güvenlik araştırmacısına ait bir hesap da dâhil olmak üzere üç hesabın birkaç gün içinde açığı kullanarak 3 milyon dolar çektiğini ortaya çıkardı. Percoco, “Bu kişi, finansman sistemimizdeki hatayı keşfetti ve hesabına 4 dolarlık kripto kredisi sağladı. Bu, hatayı kanıtlamak, ekibimize bir hata ödülü raporu sunmak ve programımızın şartlarına göre oldukça büyük bir ödül toplamak için yeterli olurdu,” dedi. “Bunun yerine, ‘güvenlik araştırmacısı’ bu hatayı birlikte çalıştıkları iki kişiye açıkladı ve onlar da sahte olarak çok daha büyük meblağlar ürettiler. Sonunda Kraken hesaplarından neredeyse 3 milyon dolar çektiler. Bu, diğer müşteri varlıklarından değil, Kraken’in hazinesinden geldi.”
Olaylar tuhaf bir hal aldı, çünkü Kraken’in çekilen fonların iadesini düzenlemek ve kullanılan proof-of-concept (PoC) istismarını paylaşmak için yaklaştığında, araştırmacılar bunun yerine şirketin iş geliştirme ekibiyle iletişime geçip varlıkları serbest bırakmak için belirli bir miktar ödemelerini talep ettiler. Percoco, “Bu beyaz şapka hackerlık değil, şantajdır,” diyerek ilgili tarafları çalınan fonları iade etmeye çağırdı.
Kraken, güvenlik olayını bir suç davası olarak ele aldığını ve konu hakkında kolluk kuvvetleri ile koordinasyon içinde olduğunu belirtti. Percoco, “Bir güvenlik araştırmacısı olarak, bir şirketi ‘hackleme’ lisansınız, katıldığınız hata ödül programının basit kurallarına uymanızla sağlanır. Bu kuralları görmezden gelmek ve şirkete şantaj yapmak, ‘hackleme’ lisansınızı iptal eder. Bu sizi ve şirketinizi suçlu yapar” diye ekledi.
Kripto Yatırımlar Teknik Uzmanı – Şener OLGUN