Kryptoměnová burza Kraken potvrdila 20. června obnovení téměř 3 milionů dolarů v digitálních aktivech od bezpečnostní firmy CertiK pro blockchain po obviněních z vydírání, které zastínilo jejich white-hat hack.
Hlavní bezpečnostní ředitel společnosti Kraken Nick Percoco se obrátil na X, aby oznámil vrácení finančních prostředků, po odečtení částky vynaložené na transakční poplatky.
Aktualizace: Nyní můžeme potvrdit, že prostředky byly vráceny (minus malá částka ztracená na poplatcích). https://t.co/cHkjPt3m2A
— Nick Percoco (@c7five) 20. června 2024
Krakenův CSO poprvé oznámil chybějící finanční prostředky ve výši 3 miliony dolarů 19. června s tím, že „bezpečnostní výzkumník“ je zlomyslně stáhl z pokladny poté, co objevil a odhalil existující chybu.
Kraken tvrdil, že je bezpečnostní výzkumník vymohl, odmítl vrátit peníze a požadoval odměnu spolu s telefonátem s týmem pro rozvoj obchodu burzy.
CertiK objasňuje obvinění
Krátce po Krakenově příspěvku o chybějících prostředcích se blockchainová bezpečnostní firma CertiK veřejně označila za „bezpečnostního výzkumníka“, o kterém Kraken tvrdil, že ukradl 3 miliony dolarů digitálních aktiv.
Stalo se tak ve snaze zpochybnit obvinění a rozptýlit jakékoli představy o nekalých úmyslech.
V příspěvku z 19. června X CertiK uvedl, že informoval Krakena o zneužití, které mu umožnilo odstranit miliony dolarů z účtů burzy. CertiK také tvrdil, že byl ohrožován týmem burzy.
„Po počátečních úspěšných konverzích při identifikaci a opravě zranitelnosti, bezpečnostní operační tým společnosti Kraken VYHROZIL jednotlivým zaměstnancům CertiK, že splatí NEODPOVÍDAJÍCÍ množství kryptoměn v NEPŘIMĚŘENÉ době, a to i BEZ poskytnutí platební adresy,“ uvedl CertiK.
Aby objasnili svou stránku příběhu, CertiK také zveřejnil časovou osu událostí, která pokrývá celý diskurz, počínaje identifikací exploitu 5. června.
Časová osa událostí
Proč stáhli 3 miliony dolarů?
Krakenův CSO původně uvedl, že první škodlivý převod v hodnotě pouhých 4 $ by stačil k prokázání chyby a získání „značných odměn“ z Krakenova odměnového programu.
Bezpečnostní výzkumník, později odhalený jako CertiK, místo toho vrazil téměř 3 miliony dolarů na jejich účty Kraken.
V příspěvku X, který následoval po vrácení 3 milionů dolarů, CertiK odpověděl na mnoho významných otázek týkajících se situace. A co je nejdůležitější, vysvětlili své odůvodnění vysoké částky.
"Chceme otestovat limit ochrany Kraken a kontroly rizik," uvedl CertiK. "Po několika testech během několika dnů a kryptoměnách v hodnotě téměř 3 miliony dolarů nebyla spuštěna žádná upozornění a stále jsme nepřišli na limit."
Otázky a odpovědi k nedávným operacím CertiK-Kraken whitehat:
1. Ztratil nějaký skutečný uživatel finanční prostředky? Ne. Krypta byly raženy ze vzduchu a žádný skutečný majetek uživatele Kraken nebyl přímo zapojen do našich výzkumných aktivit.
2. Odmítli jsme vrátit peníze? Ne. V naší komunikaci s…
— CertiK (@CertiK) 20. června 2024
Navíc CertiK tvrdí, že neměli v úmyslu vnést do obrazu odměnu; bylo to něco zmíněno ve výměně.
"Nikdy jsme nezmínili žádnou žádost o odměnu," řekl CertiK. "Byl to Kraken, kdo se nám poprvé zmínil o jejich odměně, zatímco my jsme odpověděli, že odměna není prioritním tématem a chtěli jsme se ujistit, že je problém vyřešen."
CertiK zdůraznil, že jejich úsilí nebylo na úkor žádného uživatele Krakenu. Prostředky byly „vyraženy ze vzduchu“.
Navzdory jejich tvrzení o nevině situace vyvolala debatu o povaze etického hackingu, správných komunikačních protokolech a vhodném zacházení se zjištěnými zranitelnostmi.
