Bir güvenlik araştırmacısının yardımıyla Valve, bir kullanıcının Steam cüzdanına yatırılan paranın değerini tahrif etmesine izin verecek bir istismar buldu ve düzeltti. İstismar, örneğin 1 dolarlık bir depozitoyu 100 dolarlık bir depozitoya dönüştürerek işe yaradı. Hesabın e-posta adresini "amount100" içeren bir adresle değiştirerek ve ardından bir ödeme şirketi API'sine bir mesaj göndererek gerçekleştirildi.

Hack için yazılanlar, beyaz şapka korsanlığı böcek ödül sitesi HackerOne'da drbrix tarafından yayınlandı. Valve ve drbrix daha sonra bir düzeltme uygulandıktan sonra değişimi halka açtı. Drbrix, hatayı ilk önce "orta" öncelik olarak yayınladı ve "Etkinin oldukça açık olduğunu düşünüyorum, saldırgan para üretebilir ve buhar pazarını kırabilir, oyun anahtarlarını ucuza satabilir vb."

Valve, açığı test ettikten ve bir düzeltmeyi denedikten sonra, hatayı "Kritik" önem düzeyine ve ilgili ödemeyi "işletmenin potansiyel maliyetini yansıtan" 7.500 USD'ye yükseltti.

Valve, The Daily Swig'e "Bu hatayı bildiren kişi sayesinde, sorunları müşteriler üzerinde herhangi bir etki yaratmadan çözmek için ödeme sağlayıcısıyla birlikte çalışabildik" dedi. Valve, herhangi birinin poSEtansiyel istismarı gerçekten kötüye kullanıp kullanmadığını söylemedi.