V tomto článku mluvíme o neuvěřitelném příběhu: před několika dny auditorská společnost Certik identifikovala chybu v bezpečnostních systémech kryptoburzy Kraken, která by mohla vést k vážnému hacknutí.

Po provedení několika testů po dobu 3 dnů a provedení útoku „white hack“ v hodnotě 3 milionů dolarů, Certik kontaktoval Krakena, aby jej informoval o chybě, ale zpočátku odmítl okamžitě vrátit ukradenou částku.

Burza v kryptoměnách okamžitě kontaktovala orgány činné v trestním řízení, které situaci řešily jako kriminální případ, zatímco kryptografická bezpečnostní firma trvá na tom, že jde o typický test „odměnového programu“. Nyní se zdá, že prostředky byly vráceny.

Podívejme se na vše podrobně níže.

Za 3 miliony dolarů hack proti krypto burze Kraken: Certik je zodpovědný, ale odmítá vrátit peníze

Tento příběh začíná 9. června 2024, kdy kryptoburza Kraken obdrží neformální sdělení od „bezpečnostního výzkumníka“, který tvrdí, že objevil na platformě zranitelnost, která mohla způsobit rozsáhlý hack.

Jak uvedl v posmrtném tweetu Nick Percoco, hlavní bezpečnostní důstojník společnosti Kraken, výzkumník upozornil na chybu v bezpečnostních systémech vkladů (neschopných rozlišit různé stavy vnitřního převodu), což uživatelům umožňuje nafouknout svůj zůstatek a vybrat více coinů, než mají skutečně k dispozici. Burza okamžitě podnikla kroky k vyřešení problému a za pouhých 47 minut se týmu odborníků podařilo chybu opravit.

Zde je to, co Percoco oznámil:

„chyba umožnila zákeřnému útočníkovi za správných okolností zahájit vklad na naší platformě a získat prostředky na svůj účet, aniž by vklad zcela dokončil. Aby bylo jasno, žádná aktiva zákazníků nebyla nikdy ohrožena.

Aktualizace zabezpečení Kraken:

9. června 2024 jsme od bezpečnostního výzkumníka obdrželi upozornění programu Bug Bounty. Původně nebyly zveřejněny žádné podrobnosti, ale jejich e-mail tvrdil, že našel „extrémně kritickou“ chybu, která jim umožnila uměle nafouknout svůj zůstatek na naší platformě.

— Nick Percoco (@c7five) 19. června 2024

Zatím je vše normální, až na to, že stejná bezpečnostní společnost web3, kde pracuje výzkumník, který Krakena kontaktoval, by před oficiálním nahlášením chyby provedla několik hacků na platformě za celkem 3 miliony dolarů.

Ihned po zveřejnění příspěvku Percoco převzala za incident okamžitě odpovědnost známá auditorská firma Čertik a odhalila svou zásadní roli v celé věci.

Čertík údajně „testoval“ Krakenovy obranné mechanismy provedením rozsáhlého útoku a stažením velkého množství tokenů MATIC ze 3 různých účtů a poté očištěním stop finančních prostředků pomocí mixéru Tornado Cash.

 Jak vysvětlil bezpečnostní manažer burzy, po vyřešení problému požádal Kraken Certik o vrácení finančních prostředků, ale ta to zpočátku odmítla.

Přesto Čertík trvá na tom, že jeho činnost je v souladu s principy „white hacku“.

Certik se očividně nezmínil o roli vykořisťovatele 3 účtů v incidentu, přestože provedl testy výběru během 3 dnů před komunikací s Krakenem.

Bezpečnostní výzkumník, který si všiml chyby, by požádal o značnou odměnu za to, že by identifikoval zásadní chybu, která by mohla vyústit v těžký hack, ale Kraken trval na tom, že dostane své prostředky zpět.

Vzhledem k tomu, že auditorská společnost odmítla vrátit kořist a skutečně se zdálo, že se rozhodla skrýt důkazy o hacku, burza se rozhodla situaci řešit, jako by se jednalo o trestní případ, a to oznámením příslušným orgánům a donucovacím orgánům.

Bezpečnostní společnost web3 požádala směnu o odměnu ve výši, o níž se spekulovalo, že by tato chyba mohla způsobit, kdyby nebyla prozrazena, což tým platformy pro výměnu rozzuřilo.

Percoco se na svém profilu X vyjádřil k tomu, co se stalo, a dal najevo veškerý svůj odpor vůči Čertíkově chování:

"Toto není bílé hackování, to je vydírání."

Tuto výzkumnou společnost neprozradíme, protože si nezaslouží uznání za své činy. Tento případ řešíme jako trestní případ a koordinujeme to s orgány činnými v trestním řízení. Jsme vděční, že byl tento problém nahlášen, ale tím tato myšlenka končí.

— Nick Percoco (@c7five) 19. června 2024

Zamítnutí ze strany Čertíka: finanční prostředky se vrátily, přestože někteří zaměstnanci dostali výhrůžky od týmu Kraken

Certik poté, co se představil jako společnost zodpovědná za identifikaci chyby v depozitních systémech, okamžitě popřel, co Kraken oznámil, a zdůraznil svou roli „bílého hacku“ a své pozitivní záměry.

Společnost prozradila, že připravila rozsáhlý hack za částku 3 miliony dolarů pouze za účelem testování obrany burzy, ale také zdůraznila, že nikdy neodmítla vrátit kořist, ale chtěla zajistit, aby vše proběhlo správně.

Certik uvedla, že byla ohromena potenciálním negativním dopadem, který mohla chyba způsobit, ale především skutečností, že Krakenovy alarmy nebyly nikdy spuštěny. Bylo to uvedeno v příspěvku: 

„Na JAKÝKOLI účet Kraken lze vložit miliony dolarů. Z účtu lze vybrat obrovské množství kryptoměn (v hodnotě přes 1 milion + USD) a převést je na platné kryptoměny. Ještě horší je, že během vícedenního testovacího období nebyly spuštěny žádné výstrahy“.

Auditorská firma dále vysvětlila, že člen týmu pro výměnu pohrozil vlastnímu výzkumníkovi vrácením částky v nepřiměřeném časovém rámci (6 hodin), aniž by však uvedl adresu pro splácení.

Stalo se tak poté, co několik dní po hacku obě společnosti zavolaly, aby se pokusily najít řešení a vyřešit záležitost.

CertiK nedávno identifikoval řadu kritických zranitelností na burze @krakenfx, které by mohly potenciálně vést ke ztrátám ve stovkách milionů dolarů.

Počínaje nálezem v depozitním systému @krakenfx, kde nemusí rozlišovat mezi různými interními… pic.twitter.com/JZkMXj2ZCD

— CertiK (@CertiK) 19. června 2024

To, co spustilo chaos, byla zjevně výše odměny navržené Krakenem, která nebyla považována za vhodnou vzhledem k vynaloženému úsilí a zabránila možnému zneužití. Jak uvedl mluvčí Kraken pro Coindesk:

„Zapojili jsme tyto výzkumníky v dobré víře a v souladu s desetiletým řízením programu odměn za chyby jsme za jejich úsilí nabídli značnou odměnu. Jsme zklamáni touto zkušeností a nyní spolupracujeme s orgány činnými v trestním řízení, abychom získali aktiva od těchto bezpečnostních výzkumníků."

Čertík dnes zveřejnil další příspěvek s několika často kladenými dotazy, aby dále objasnil svůj postoj a odstranil jakékoli pochybnosti.

Bezpečnostní společnost opakuje, že „důsledně“ potvrdila, že ukradenou částku vrátí, a uvádí, že nyní jsou všechny prostředky zpět v Krakenových rukou.

Tyto prostředky byly zaslány zpět odesílateli v 734,19215 ETH, 29 001 USDT a 1021,1 XMR, přičemž burza výslovně požádala o zaslání 155818,4468 MATIC, 907400,1803 USDT, 475,5555555,757871 USD v celkové hodnotě přibližně 98 971 ETH 100 000 dolarů .

Otázky a odpovědi k nedávným operacím CertiK-Kraken whitehat:

1. Ztratil nějaký skutečný uživatel finanční prostředky?
Ne. Krypta byly raženy ze vzduchu a žádný skutečný majetek uživatele Kraken nebyl přímo zapojen do našich výzkumných aktivit.

2. Odmítli jsme vrátit finanční prostředky?
Ne. V naší komunikaci s…

— CertiK (@CertiK) 20. června 2024

Kraken zůstává pevný na svém konceptu etiky „bílého hackingu“ a tvrdí, že šikanu páchanou Čertíkem lze označit za vydírání.

Program Bounty burzy skutečně vyžaduje, aby třetí strany našly problém, využily minimální množství nutné k otestování chyby (bez provedení hacku za 3 miliony dolarů), vrátily zdroje a poskytly podrobnosti o zranitelnosti.