JAKARTA - Kraken mengonfirmasi bahwa dana senilai 3 juta Dolar AS (sekitar Rp49 Miliar) yang diambil oleh para “peneliti keamanan” dari CertiK telah dikembalikan. Namun, tindakan CertiK yang mengklaim sebagai operasi “whitehat” untuk memperkuat keamanan Kraken menuai kontroversi di kalangan komunitas kripto.
Kraken mengumumkan bahwa dana yang diambil oleh CertiK telah dikembalikan, meski sebagian kecil hilang karena biaya transaksi. Dikutip dari CryptoPotato, Nick Percoco, Chief Security Officer Kraken, mengungkapkan hal ini melalui cuitannya pada Kamis lalu.
“Update: Kami sekarang dapat mengonfirmasi bahwa dana telah dikembalikan (minus sebagian kecil yang hilang karena biaya),” tulis Percoco di Twitter.
Meskipun Kraken awalnya enggan mengungkap identitas pelaku, pakar keamanan blockchain di CertiK mengakui bahwa mereka adalah pihak di balik peretasan tersebut. Percoco menjelaskan bahwa Kraken baru-baru ini memperbaiki bug yang memungkinkan individu dengan kemampuan teknis tinggi untuk secara artifisial meningkatkan saldo mereka di platform, sehingga bisa mencuri uang dalam jumlah besar sejak Januari.
Pakar CertiK memberi tahu Kraken tentang kerentanan ini pada bulan Juni, tetapi sebelum menguras 3 juta Dolar AS dari Treasury Kraken sebagai demonstrasi. “Dalam beberapa jam, masalah tersebut sepenuhnya diperbaiki dan tidak bisa terjadi lagi,” jelas Percoco, seraya menambahkan bahwa “aset klien tidak berisiko.”
BACA JUGA:
Kontroversi “Whitehat”
CertiK menggambarkan tindakannya sebagai operasi “whitehat” untuk membantu memperkuat keamanan Kraken. Namun, cara mereka menjalankan tindakan ini tidak diterima baik oleh Kraken maupun komunitas kripto yang lebih luas. CertiK gagal mengikuti prosedur standar program hadiah whitehat Kraken, seperti tidak segera mengembalikan semua dana yang dicuri, dan mencuri jauh lebih banyak uang daripada yang diperlukan untuk menunjukkan kerentanan tersebut.
Saat diminta mengembalikan dana, CertiK secara eksplisit menolak hingga Kraken memberikan perkiraan berapa banyak uang yang berisiko jika perusahaan tidak mengidentifikasi kerentanan tersebut.
Sebaliknya, CertiK mengatakan bahwa mereka “secara konsisten meyakinkan Kraken bahwa kami akan mengembalikan dana tersebut.”
“Tim operasi keamanan Kraken telah mengancam karyawan individu CertiK untuk membayar kembali jumlah kripto yang tidak sesuai dalam waktu yang tidak masuk akal bahkan tanpa memberikan alamat pembayaran,” bantah CertiK di Twitter.
Perusahaan mengonfirmasi pada Kamis bahwa semua dana telah dikembalikan, meski dalam jumlah kripto yang berbeda dari yang diminta Kraken. CertiK juga membenarkan besarnya serangan mereka sebagai tindakan yang diperlukan untuk menguji batas peringatan dan kontrol risiko Kraken, yang ternyata tidak berfungsi meski telah kehilangan jutaan.
“Kami tidak pernah menyebutkan permintaan hadiah,” tambah CertiK. “Justru Kraken yang pertama kali menyebutkan hadiahnya kepada kami, sementara kami menanggapi bahwa hadiah bukanlah topik prioritas dan kami ingin memastikan masalah tersebut diperbaiki.”