CertiK odhaluje podrobnosti o zranitelnosti na kryptoměnové burze Kraken, odmítá obvinění z vydírání

Blockchain bezpečnostní společnost CertiK nedávno odhalila vážnou zranitelnost, kterou objevila v kryptoměnové burze Kraken, a následnou kontroverzi. Mezitím CertiK důrazně odmítl obvinění Krakena z vydírání a řekl, že vrátí prostředky použité na testování.

Odhalení zranitelností a přijatá opatření

Společnost CertiK uvedla, že její výzkumníci 5. června objevili zranitelnost v depozitním systému Kraken, která by mohla umožnit zlomyslným aktérům předstírat vkladové transakce a vybírat falešné prostředky. CertiK okamžitě zahájil hloubkové vyšetřování a sérii testů, aby ověřil skutečné riziko zranitelnosti.

Testy CertiK odhalily překvapivý výsledek: miliony dolarů bylo možné vložit na jakýkoli účet Kraken a bylo možné vybrat více než 1 milion dolarů padělaných kryptoměn a převést je na platnou měnu. Během několika dnů testování tyto akce nespustily žádné výstrahy. Kraken na incident zareagoval až o několik dní později a zamkl testovací účet.

Vznikající spory a způsobené ztráty

Přestože CertiK a Kraken zpočátku úspěšně komunikovali a podnikli kroky k odstranění zranitelnosti, situace se následně zhoršila. Dne 18. června byl Kraken obviněn z vyhrožování zaměstnancům CertiK a požadoval splacení „nesrovnaných“ částek v nepřiměřené lhůtě, aniž by uvedl příslušné adresy peněženky.

Bezpečnostní ředitel společnosti Kraken Nick Percoco 19. června odhalil, že v jeho peněžence se kvůli této zranitelnosti ztratily téměř 3 miliony dolarů. Poznamenal, že 9. června dostal Kraken anonymní tip od „bezpečnostního výzkumníka“, který odhalil vážnou zranitelnost v systému financování. Kraken zjistil, že tři účty zneužily tuto chybu zabezpečení během krátké doby.

Plán odpovědí a refundace CertiK

CertiK popřel obvinění společnosti Kraken z vydírání a uvedl, že protože společnost Kraken neposkytla adresu pro splácení a požadované částky se neshodovaly, CertiK převede prostředky zpět na účet, ke kterému má Kraken na základě záznamů přístup. ČertiK zdůraznil, že prostředky byly určeny na „testování bílého klobouku“.

Kraken obviňuje CertiK z neetického a údajně kriminálního jednání, protože CertiK odmítl Krakenovu žádost o vrácení peněz a poskytnutí dat. Místo toho si CertiK domluvil schůzku s Krakenem, aby prodiskutovali stanovení výše odměny na základě potenciálních ztrát z nezveřejnění. #CertiK #Kraken #敲诈勒索 #指控 #交易所漏洞

Závěr

Incident nejen upozornil na zranitelnost kryptoměnových burz z hlediska bezpečnosti, ale také rozpoutal diskuse o etických a právních hranicích výzkumu bezpečnosti.

Spor mezi CertiK a Kraken by mohl mít dlouhodobé důsledky pro důvěru a spolupráci v bezpečnostním prostoru blockchainu. Jak se právní a etické otázky vyjasňují, vývoj tohoto incidentu bude nadále bedlivě sledován v rámci odvětví i mimo něj.