Kraken tvrdí, že CertiK byl přehnaný – ale firma zabývající se kybernetickou bezpečností trvá na tom, že pro zjištění rozsahu problému byly nutné rozsáhlé výběry.
Minulý týden Kraken oznámil, že kritická chyba umožnila bezpečnostním výzkumníkům uměle navýšit jejich zůstatek – a vybrat téměř 3 miliony dolarů.
Aktualizace zabezpečení Kraken: 9. června 2024 jsme od bezpečnostního výzkumníka obdrželi upozornění na program Bug Bounty. Původně nebyly zveřejněny žádné podrobnosti, ale jejich e-mail tvrdil, že našel „extrémně kritickou“ chybu, která jim umožnila uměle nafouknout svůj zůstatek na naší platformě.
— Nick Percoco (@c7five) 19. června 2024
Ale na celém incidentu bylo něco neuvěřitelně neobvyklého a nakonec to vyvolalo slovní válku mezi kryptoburzou a velkou kyberbezpečnostní firmou.
Hlavní bezpečnostní důstojník Kraken Nick Percoco odstartoval tím, že oznámil, že byla nalezena chyba, která umožnila zlomyslným aktérům tisknout finanční prostředky na účet.
Zmírnění problému trvalo 47 minut a úplné vyřešení několik hodin. Zatím to všechno vypadá docela normálně a rutinně.
Percoco však věci dále eskaloval tvrzením, že dotyčný bezpečnostní výzkumník o problému řekl dvěma jejich kolegům, což jim umožnilo získat finanční prostředky společnosti v hodnotě milionů.
Řekl, že Kraken požádal o podrobnosti o tom, jak bylo dosaženo zneužití, a snažil se zařídit, aby byly finanční prostředky vráceny v plné výši, ale tvrdil, že výměna byla odmítnuta.
„Namísto toho požadovali telefonát se svým týmem pro rozvoj podnikání (tj. se svými obchodními zástupci) a nesouhlasili s vrácením žádných prostředků, dokud neposkytneme spekulovanou částku v dolarech, kterou by tato chyba mohla způsobit, kdyby ji neprozradili. To není hacking white-hat, to je vydírání!“
Nick Percoco
Percoco dále tvrdil, že výzkumníci nepracovali v duchu programu odměn za chyby, protože vytěžili mnohem více, než potřebovali, neposkytli důkaz o konceptu a okamžitě nevrátili hotovost.
Tak co se tady dělo? Byl to hacker s bílým kloboukem, který se dostal na temnou stranu? Někdo drží Krakena jako výkupné? Trestní záležitost?
Mohlo by se vám také líbit: Jak nakupovat mince před uvedením na seznam
CertiK postupuje vpřed
Zde nabírá příběh neobvyklý spád. Možná jste předpokládali, že útok zorganizoval bystrý teenager zamčený někde v jejich ložnici. Ve skutečnosti to provedl CertiK — jeden z největších auditorů v prostoru Web3.
Pouhé tři hodiny po vláknu Percoco na X společnost vykročila vpřed se svou vlastní verzí událostí.
CertiK nedávno identifikoval řadu kritických zranitelností na burze @krakenfx, které by mohly potenciálně vést ke ztrátám ve stovkách milionů dolarů. Počínaje nálezem v depozitním systému @krakenfx, kde nemusí rozlišovat mezi různými interními… pic.twitter.com/ JZkMXj2ZCD
— CertiK (@CertiK) 19. června 2024
Uvedla, že dny po dnech testů nedokázaly vyvolat žádné červené vlajky v interních systémech Krakenu – což znamená, že bezpečnostní tým burzy zasáhl až poté, co mu bylo o chybě řečeno.
„Po počátečních úspěšných konverzích týkajících se identifikace a opravy zranitelnosti, bezpečnostní operační tým společnosti Kraken VYHROZIL jednotlivým zaměstnancům CertiK, že splatí NEODPOVÍDAJÍCÍ množství kryptoměn v NEPŘIMĚŘENOU dobu, a to i BEZ poskytnutí platebních adres.“
CertiK
CertiK dále naléhal na Krakena, „aby přestal s veškerými hrozbami proti hackerům s bílým kloboukem“.
O den později následovalo vlákno, které odpovídalo na otázky týkající se jeho výzkumu.
Otázky a odpovědi k nedávným operacím CertiK-Kraken whitehat: 1. Ztratil nějaký skutečný uživatel finanční prostředky? Ne. Krypta byly raženy ze vzduchu a žádný skutečný majetek uživatele Kraken nebyl přímo zapojen do našich výzkumných aktivit.2. Odmítli jsme vrátit peníze? Ne. V naší komunikaci s…
— CertiK (@CertiK) 20. června 2024
Kromě zdůraznění, že žádní zákazníci společnosti Kraken nakonec nepřišli o peníze, CertiK zdůraznil, že společnost „důsledně ujistil“, že peníze budou vráceny, a také se tak stalo. Jediný problémový bod? Neshoda ohledně toho, kolik byl směně skutečně dlužen.
Při vysvětlení, proč se rozhodla využít chyby v tak velkém měřítku, společnost dodala:
„Chceme otestovat limit ochrany Kraken a kontroly rizik. Po několika testech v průběhu několika dní a téměř 3 miliony kryptoměn nebyly spuštěny žádné výstrahy a stále jsme nepřišli na limit.“
CertiK
Čtu mezi řádky a zdá se, že CertiK chtěl od Krakena odpovědi na to, jak moc by skutečný podvodník mohl odejít, kdyby pokračoval.
Firma zabývající se kybernetickou bezpečností dále tvrdila, že odměna za chyby byla na jejím seznamu priorit daleko – a všechny transakce spojené s jejími testy se staly veřejnou doménou.
Všemocná válka slov
Na X došlo ke značné neshodě ohledně toho, kdo má pravdu a kdo ne.
Skutečnou otázkou by mělo být, proč jste v rámci svého testování v roli, kde je důvěra tím nejdůležitějším prvkem, zneužili obscénní množství. Vezměte L a přestaňte tweetovat bez právní rady.
— Viz $LSS BULL (@crypto_seeb) 19. června 2024
3 miliony dolarů jsou arašídy ve srovnání s velikostí potenciálního bankrotu. Double L od Krakena, který z toho udělal veřejnou záležitost, místo aby jen děkoval bohu, že toho nikdo nevyužil.
— everhusk (@everhusk) 19. června 2024
Argument CertiK se scvrkává na toto: bylo potřeba provést astronomicky velké výběry, aby se otestovalo, zda některý z nich nebude označen vnitřními systémy Krakenu.
Spor, který se nyní zdá být na povrchu vyřešen, zdůrazňuje určité napětí mezi podniky v kryptoprostoru – a výzkumníky v oblasti kybernetické bezpečnosti, kteří je mají za úkol udržet pod kontrolou.
Je potřeba větší shoda na pravidlech angažovanosti? Existují někdy případy, kdy jsou rozsáhlé útoky bílých hackerů oprávněné, protože by to mohlo později zabránit tomu, aby se stalo něco katastrofálnějšího?
Pokud by se to stalo síti Ronin – která pomáhá zabránit jedné z největších krypto loupeží všech dob, která vedla k ukradení 625 milionů dolarů – pravděpodobně byste namítli, že dočasná krádež několika milionů dolarů by byla oprávněná.
Bez ohledu na to, jak se na to díváte, tento incident je bolestnou připomínkou toho, že velké burzy mohou mít chyby, které dosud nebyly odhaleny, což představuje riziko pro každodenní investory, kteří tyto obchodní platformy používají k ukládání svých finančních prostředků.
Také by se vám mohlo líbit: Může kryptoprůmysl věřit Trumpovi?