Perusahaan Keamanan Blockchain Eksploitasi Bug dan Curi RP49 Miliar

Perusahaan keamanan blockchain, CertiK, berkonflik dengan pertukaran kripto Amerika Serikat, Kraken. Bagaimana konflik ini bisa terjadi? Simak kronologinya di sini.

Kronologi Konflik CertiK dan Kraken

Konflik ini bermula pada 9 Juni 2024. Kraken menerima peringatan program bug bounty dari seorang yang diduga peneliti keamanan. Peringatan tersebut menyoroti bug di sistem Kraken yang memungkinkan pengguna meningkatkan saldo akun mereka.

Ketika pertukaran kripto memperbaiki bug tersebut, mereka menemukan tiga akun yang memanfaatkan kelemahan tersebut dan mencuri US$3 juta atau setara Rp49 miliar dari akun Kraken.

Kraken awalnya tidak mengungkap siapa peneliti keamanan yang mencuri uang tersebut, tetapi pada 19 Juni Certik secara mandiri memberikan pengakuan bahwa mereka adalah dalang dibalik penemuan masalah dan eksploitasi tersebut.

Certik yang menemukan bug berhak mendapatkan hadiah yang ditawarkan Kraken. Namun, tampaknya tidak ditemukan kesepakatan segera dan justru terjadi perdebatan antara keduanya, karena CertiK tidak langsung mengembalikan dana yang mereka ambil.

“Sebaliknya, mereka meminta panggilan dengan tim pengembangan bisnis mereka (yaitu perwakilan penjualan mereka) dan belum setuju untuk mengembalikan dana apa pun sampai kami memberikan perkiraan jumlah $ yang mungkin disebabkan oleh bug ini jika mereka tidak mengungkapkannya. Ini bukan peretasan white hat, ini pemerasan,” kata Nicholas Percoco, kepala petugas keamanan Kraken. 

Kraken diketahui meminta CertiK mengembalikan 155.818 MATIC, 907.400 USDT, 475,5 ETH dan 1.089.8 XMR. Namun, CertiK hanya mengembalikan 734 ETH, 29.001 USDT, 1.021 MATIC. CertiK mengklaim jumlah tersebut sesuai dengan data mereka. 

Di sisi lain, CertiK menyoroti perilaku Kraken yang memberikan ancaman kepada karyawannya yang menemukan kerentanan tersebut dan Karken yang tidak memberikan mereka alamat wallet untuk mengirim dana tersebut.

“Setelah konversi awal yang berhasil dalam mengidentifikasi dan memperbaiki kerentanan, tim operasi keamanan Kraken telah MENGANCAM setiap karyawan CertiK untuk membayar kembali sejumlah kripto yang TIDAK SESUAI dalam waktu yang TIDAK WAJAR bahkan TANPA memberikan alamat pembayaran,” kata CertiK.

Memperjelas sisi cerita mereka, CertiK merilis garis waktu peristiwa, yang mencakup keseluruhan wacana, dimulai dengan mengidentifikasi eksploitasi pada tanggal 5 Juni.

Komunitas Kripto Bela Kraken

Konflik antara Kraken dan CertiK ini pun menarik perhatian dari komunitas kripto. Sebagian beranggapan bahwa yang dilakukan oleh CertiK adalah hal yang salah, sebab dana yang diambil CertiK dari Kraken justru dimasukan ke crypto mixer, Tornado Cash, yang disanksi Amerika Serikat. CertiK juga menggunakan ChangeNOW, pertukaran kripto non-kustodia dengan proses verifikasi yang lemah.

CertiK Kembalikan Seluruh Dana

Update: We can now confirm the funds have been returned (minus a small amount lost to fees). https://t.co/cHkjPt3m2A

— Nick Percoco (@c7five) June 20, 2024

Sementara itu, setelah serangkaian proses, pihak Kraken pada 20 Juni melaporkan telah berhasil melakukan pemulihan hampir US$3 juta aset digital dikurangi jumlah yang dikeluarkan untuk biaya transaksi dari Certik.