توماس دانيلز
تكبدت بورصة العملات المشفرة الأمريكية Kraken خسارة قدرها 3 ملايين دولار في أوائل يونيو بعد حدوث خلل في نظام التمويل الخاص بها. تم الكشف عن هذا الاختراق، المنسوب إلى باحثين أمنيين مارقين، علنًا من قبل كبير ضباط الأمن في Kraken، نيك بيركوكو، على وسائل التواصل الاجتماعي.
وفقا لبيركوكو، كراكن تلقت لأول مرة تقريرًا عن خطأ من "باحث أمني" مزعوم في 9 يونيو. سمح الخلل، الناجم عن تحديث تجربة المستخدم (UX) الأخير، للمستخدمين بإضافة رصيد إلى حساباتهم قبل تصفية الأصول، مما أتاح التداول غير المصرح به في الوقت الفعلي. واعترف بيركوكو بأن تغيير تجربة المستخدم لم يتم اختباره ضد ناقل الهجوم المحدد هذا قبل النشر.
صرح بيركوكو قائلاً: "لم يتم اختبار تغيير تجربة المستخدم هذا بدقة ضد ناقل الهجوم المحدد هذا".
وكشفت التحقيقات اللاحقة أنه تم استغلال الثغرة الأمنية في ثلاث مناسبات منفصلة قبل تصحيحها. وبدلاً من اتباع ممارسات الكشف الأخلاقي، زُعم أن الباحث شارك الاستغلال مع اثنين من شركائه، مما أدى إلى سحب غير مشروع لما يقرب من 3 ملايين دولار من احتياطيات Kraken.
كان تقرير الخطأ الأولي الذي أعده الباحث الأمني غير مكتمل، مما يستلزم المزيد من التحقق قبل النظر في أي مكافأة لتحديد الخلل. تم رفض طلب كراكن للحصول على وصف تفصيلي لأفعالهم، وإثبات المفهوم، وإعادة الأموال المسروقة، وهو ما أدانه بيركوكو ووصفه بأنه "ابتزاز"، وهو خروج عن بروتوكولات القرصنة الأخلاقية القياسية.
حتى الآن، لم توضح Kraken ما إذا كانت قد حددت جميع الأطراف المعنية أو استعادت الأصول المفقودة.
