Když se Nick Percoco, hlavní bezpečnostní důstojník Krakenu, minulý měsíc dozvěděl, že burza byla hacknuta za 3 miliony dolarů, letěl ve výšce 40 000 stop na cestě na zaslouženou dovolenou.
Ale místo toho, aby se Percoco odvázalo v Japonsku, muselo skočit do průlomu a pomoci zvládnout jednu z nejhorších bezpečnostních krizí, aby zasáhla sedmou největší kryptoburzu na světě.
"Náhodou jsem během letu získal Wi-Fi připojení," řekl Percoco DL News. „Na poslední chvíli jsem komunikoval s lidmi v práci, četl zprávy, na Twitteru. A viděl to a pak je nasměroval na odměnu za chyby."
19. června Kraken odhalil, že nezávislý bezpečnostní výzkumník nahlásil kritickou zranitelnost v programu odměny za chyby burzy.
Tyto programy nabízejí útočníkům peníze výměnou za identifikaci zranitelností v projektech.
Tato konkrétní slabost umožnila výzkumníkovi připsat na jejich účty Kraken peníze podle libosti. Detektiv pracoval pro CertiK, bezpečnostní a kryptoaudítorskou firmu, která uvedla, že identifikovala tuto zranitelnost.
Během pěti dnů CertiK stáhl z burzy 3 miliony dolarů v kryptoměnách, řekl Percoco.
To je velmi neobvyklé. Bezpečnostní firmy by neměly využívat zranitelnosti tak dlouho a za tolik peněz, řekl Percoco.
Finanční prostředky byly nakonec vráceny a chyba byla opravena za 47 minut. Přesto to byla překvapivá epizoda, dokonce i podle kryptografických standardů.
Jednalo se o masivní porušení jedné z nejvíce zavedených burz v oboru. Vzestup Krakenu, který byl založen v roce 2011, byl synonymem pro institucionalizaci bitcoinu.
V lednu bylo schváleno 11 různých spotových bitcoinových ETF. O několik měsíců později Kraken získává finanční prostředky před možnou první veřejnou nabídkou.
Exploatace byla také bizarní. Zdá se, že CertiK, podnik založený na zabezpečení kódu pro kryptoměny, porušuje téměř všechny průmyslové standardy týkající se odměn za chyby. Během debaklu se dokonce pokusili domluvit prodejní hovor s Krakenovým bezpečnostním týmem.
CertiK na žádost DL News o komentář okamžitě neodpověděl.
V tweetu Percoco uvedl, že CertiK spíše vydírání výměnu než white-hat hacking.
Základní pravidla
Programy odměn za chyby jsou běžné v krypto a technologickém průmyslu.
Každý krypto projekt, který má hodnotu svého kódu, vyčlení hotovost na několik auditů svých chytrých smluv a další částku na odměňování prohnaných – ale etických – hackerů, kteří identifikují chybu.
Minulý měsíc jeden výzkumník vydělal 2 miliony dolarů za identifikaci chyby v síti vrstvy 1 Sei. Kraken platí až 1,5 milionu dolarů za kritické chyby, jako je ta, která se stala nedávno.
Percoco, bezpečnostní výzkumník od konce 90. let, říká, že Krakenův program existuje již deset let. Jeho schránka se plní falešnými exploity od lidí, kteří hledají rychlou výplatu.
Dokonce si myslel, že zpráva CertiK je falešná.
„Oslovení bylo ‚musíte nás kontaktovat co nejdříve‘ a nebyly tam žádné kontaktní informace. Nemohl jsem ani poslat přímou zprávu,“ řekl. "Bylo trochu sporné, jestli to byl někdo, kdo se nás jen snažil podvést."
červené vlajky
Přesto musí pětičlenný tým, který dnem i nocí monitoruje příchozí poštu, projít každou zprávu. Vzhledem k tomu, že Kraken generuje více než 1 miliardu dolarů v denním objemu obchodů, je v sázce hodně.
Nedostatek kontaktních informací nebyl jedinou červenou vlajkou, řekl Percoco.
Sběratelé odměn musí dodržovat čtyři pravidla pro hlášení chyb. Nejprve musí chybu nahlásit společnosti, jakmile ji zjistí.
Za druhé, sběratelé odměn musí prokázat, že dokážou chybu zneužít. Za třetí, když poskytují důkaz, musí vzít pouze tolik peněz, aby prokázali zranitelnost.
A nakonec musí zapojit společnost, aby znovu otestovala exploit a zjistila, zda se společnosti podařilo opravit.
CertiK zvolil jiný přístup a podle Percoco porušil všechna čtyři pravidla.
Rostoucí bolesti kryptoměn
S BlackRock a Fidelity proudí do vesmíru, bezpečnost a odměny za chyby jsou v centru pozornosti. Ale na rozdíl od jiných odvětví, kde osvědčené postupy poslední roky, v kryptoměnách mohou trvat jen několik dní.
Firmy stále nalévají peníze do bug bounty programů navzdory poslednímu incidentu.
Podle bug bounty platformy HackerOne nabízí kryptoburza Crypto.com 80 000 $ za kritickou chybu. Správcovská služba Fireblocks poskytuje za podobné zranitelnosti obrovskou odměnu 250 000 $.
Dokonce i veřejně obchodovaná Coinbase zaplatí 1 milion dolarů, pokud se do burzy dostanete.
Odměny za chyby jsou drahé a někdy neohrabané záchranné sítě, ale vzhledem k tomu, že letos již bylo ukradeno 664 milionů dolarů, jsou stále jednoznačně nezbytné.
Liam Kelly je korespondentem DeFi v DL News. Ozvěte se na liam@dlnews.com.