Kraken'in bug bounty programı kapsamında güvenlik açığı olup olmadığını kontrol etmesi istenirken CertiK çalışanı ve çalışanları para çalma olayına tanık olunmuş.
Olay:
CertiK'te çalışan birisi Kraken'e varlık yatırarak hesap bakiyesini olması gerekenden fazla şişirerek sahip olduğunuzdan fazlasını çekebileceğinizi buluyor ve bu işlemi deneme amacıyla kendi KYC'sinin olduğu bir hesapla 4$'lık bir fazla yaratarak deniyor. (White-hat olarak 4$'ın bile hacki kanıtlamaya yeterli olduğu söyleniyor.)
Sonra hacker gidip CertiK'teki başka kişilere bunu anlatıyor ve CertiK çalışanları 5 gün boyunca farklı aralıklarla sessiz sessiz Kraken'den 3M$ çalıyorlar.
Sonrasında ise başta 4$'lık açık yakalayan kişi, Kraken'in bug bounty programında bu sorunu dile getiriyor FAKAT 3M$ çaldıklarını rapora eklemiyor.
Kraken ise bu sorunu analiz edip test ettiğinde ve geçmişte bu sorun yaşanmış mı diye kontrol ederken 3M$'ın çalındığını ve bunu çalanların da CertiK ekibinde bu bilgiyi öğrenen kişiler olduğunu fark ediyorlar.
Link :
https://x.com/c7five/status/1803403565865771370Link 2 :
https://x.com/alamaluu/status/1803527568651694551