Blockchain bezpečnostní firma CertiK se identifikovala jako bezpečnostní výzkumník Kraken, který tvrdí, že ukradl digitální aktiva v hodnotě téměř 3 miliony dolarů.
Kraken před méně než dvěma týdny utrpěl bug útok a přišel o téměř 3 miliony dolarů. V té době kryptoměnová burza uvedla, že incident řeší jako kriminální případ a bude koordinovat s orgány činnými v trestním řízení.
Krakenův útok
9. června kryptoměnová burza Kraken odhalila, že utrpěla zneužití, při kterém platforma přišla o aktiva v hodnotě 3 milionů dolarů. Podle zprávy, kterou sdílel hlavní bezpečnostní důstojník společnosti Kraken, Nicholas Percoco, platforma obdržela upozornění na bug bounty program od bezpečnostního výzkumníka, který tvrdil, že našel extrémně kritickou chybu, která jim umožnila uměle nafouknout svůj zůstatek na Krakenovi.
„Dne 9. června 2024 jsme od bezpečnostního výzkumníka obdrželi upozornění na bug bounty program. Původně nebyly zveřejněny žádné podrobnosti, ale jejich e-mail tvrdil, že našel „extrémně kritickou“ chybu, která jim umožnila uměle nafouknout svůj zůstatek na naší platformě.
Percoco uvedl, že při dalším vyšetřování objevili izolovanou chybu, která poskytla špatnému herci významná privilegia, což jim umožnilo zahájit vklad na Kraken a získat prostředky na svůj účet i bez dokončení vkladu. Zranitelnost, která vznikla po nedávné změně uživatelského rozhraní na Krakenu, umožnila útočníkovi „tisknout aktiva“ na jejich účtu Kraken. Kraken uvedl, že chyba byla opravena a žádné finanční prostředky klienta nebyly ohroženy. Kraken tvrdil, že další vyšetřování odhalilo, že bezpečnostní výzkumník sdílel chybu se dvěma kolegy, kteří ji použili k podvodnému získání významných finančních prostředků.
CertiK se identifikuje jako bezpečnostní výzkumník
Nyní se blockchainová bezpečnostní firma CertiK identifikovala jako bezpečnostní výzkumník Kraken tvrdí, že ukradl digitální aktiva v hodnotě 3 milionů dolarů. V příspěvku na X CertiK uvedl, že informoval Krakena o exploitu, který mu umožnil odstranit miliony z účtů burzy.
„CertiK nedávno identifikoval řadu kritických zranitelností na burze @krakenfx, které by mohly potenciálně vést ke ztrátám ve stovkách milionů dolarů. Po objevu jsme informovali Krakena, jehož bezpečnostní tým to klasifikoval jako kritické: nejzávažnější stupeň utajení na Krakenu.
Blockchainová bezpečnostní firma tvrdila, že tým bezpečnostních operací Kraken ohrožoval zaměstnance CertiK.
„Po počátečních úspěšných konverzích týkajících se identifikace a opravy zranitelnosti, bezpečnostní operační tým společnosti Kraken VYHROZIL jednotlivým zaměstnancům CertiK, že splatí NEODPOVÍDAJÍCÍ částku kryptoměn v NEPŘIMĚŘENOU dobu, a to i BEZ poskytnutí platební adresy. V duchu transparentnosti a našeho závazku vůči komunitě Web3 zveřejňujeme, abychom chránili bezpečnost všech uživatelů. Vyzýváme [Krakena], aby přestal s jakýmikoli hrozbami proti hackerům s bílým kloboukem."
CertiK také zveřejnil časovou osu událostí, počínaje identifikací exploitu 5. června a konče tím, že Kraken 18. června vyhrožoval zaměstnancům CertiK. Bezpečnostní firma dodala, že také převede prostředky na účet, ke kterému bude mít Kraken přístup.
Krypto komunita podporující Krakena
Zdálo se, že reakce mnoha v kryptokomunitě upřednostňují Krakena a tvrdí, že akce CertiK nejsou v souladu s tím, jak by se chovali hackeři bílého klobouku. Není však jasné, zda Kraken plánuje podniknout právní kroky nebo k tomu má důvody.
„Čertik se právě přiznal, že je bezpečnostní firmou, která kradla Krakenovi, a snaží se od nich vymámit větší platbu. Vzhledem k tomu, jak často jsou audity Certik hacknuty a nyní toto, je divné, že stále existují. Naprostý zločinec."
CertiK již dříve identifikoval významné zranitelnosti v mostě Wormhole Bridge a aplikaci Telegram. Firma oznámila, že v roce 2023 bylo kvůli nelegálním aktivitám ztraceno kolem 1 miliardy dolarů v digitálních aktivech.
Upozornění: Tento článek je poskytován pouze pro informační účely. Není nabízeno ani zamýšleno k použití jako právní, daňové, investiční, finanční nebo jiné poradenství.