Geschrieben von: Yangz, Techub News

Gestern Abend veröffentlichte Nick Percoco, Chief Security Officer von Kraken, ein Dokument, aus dem hervorgeht, dass das Kraken-Team am 9. Juni einen Bug-Bounty-Bericht erhalten hatte, in dem es hieß, es habe eine „äußerst schwerwiegende“ Schwachstelle entdeckt, die es Angreifern ermöglichte, Konten künstlich zu erhöhen, ohne den Einzahlungssaldo auszugleichen . Obwohl das Kraken-Team die Schwachstelle innerhalb weniger Stunden behoben hat, ergab eine eingehende Untersuchung, dass die Schwachstelle von drei Konten ausgenutzt wurde. Die KYC-Informationen für eines der Konten gaben an, ein „Sicherheitsforscher“ zu sein, der die Schwachstelle ausnutzte, um 4 US-Dollar in Kryptowährung auf sein Konto einzuzahlen und dann einen Bug-Bounty-Bericht einzureichen.

Noch wichtiger ist jedoch, dass der „Forscher“ die Schwachstelle zwei weiteren Personen offengelegt hat, die mit ihm zusammengearbeitet haben, was dazu geführt hat, dass Kranken fast drei Millionen US-Dollar aus der Kasse abgezogen hat.​

Percoco sagte, dass das Team das oben genannte Konto kontaktierte und plante, eine Rückerstattung der Gelder gemäß dem normalen Bug-Bounty-Prozess zu veranlassen und dessen „White-Hat-Verhalten“ zu belohnen, da der erste Bericht die Details der Schwachstelle nicht vollständig offenlegte. Doch unerwartet forderte der „Sicherheitsforscher“ einen Anruf beim Geschäftsentwicklungsteam von Kraken und sagte, dass keine Gelder zurückgezahlt würden, es sei denn, die Schwachstelle werde in der Höhe des Schadens belohnt, den sie verursachen könnte. Auf diese Weise wurden „White-Hat-Hacker“ sofort zu „Erpressung“. Percoco beschloss auch, den Namen „dieses Forschungsunternehmens“ nicht preiszugeben, und behandelte die Angelegenheit als Strafverfahren und plante eine Abstimmung mit den Strafverfolgungsbehörden. Ich dachte, dass die Angelegenheit vorerst erledigt wäre, aber überraschenderweise meldete sich das Sicherheitsunternehmen CertiK drei Stunden nach der Veröffentlichung des Artikels durch Percoco automatisch zu Wort und teilte mit, dass es eine Sicherheitslücke in Kraken entdeckt habe und dass die Schwachstelle zu Hunderts führen könnte Verluste in Millionenhöhe.​

CertiK sagte, dass es durch Tests drei große Probleme mit Kraken entdeckt habe und dass während des mehrtägigen Testzeitraums keine Kraken-Warnungen ausgelöst wurden. CertiK sagte, es habe mehrere Tage gedauert, bis Kraken reagierte, nachdem es die Sicherheitslücke offiziell gemeldet hatte. Darüber hinaus drohte das Sicherheitsteam von Kraken nach der Behebung der Schwachstelle einzelnen CertiK-Mitarbeitern damit, nicht übereinstimmende Kryptowährungsbeträge innerhalb unangemessener Zeit zurückzuzahlen, ohne auch nur eine Rückzahlungsadresse anzugeben. Eine Zeit lang beharrten beide Seiten der Konfrontation auf ihrer eigenen Meinung. Kraken betrachtete das Verhalten von CertiK als „kriminell“, während CertiK verlangte, dass Kraken „jegliche Bedrohung für White-Hat-Hacker stoppt“.​

Diesbezüglich gab es im CT viele Diskussionen, aber die Rezensionen waren im Wesentlichen darauf ausgerichtet, CertiK die Schuld zuzuschieben. Insbesondere ist es rätselhaft, warum CertiK mehrere Tage lang Tests durchführte, bevor es die Schwachstelle an Kraken meldete. Angesichts dieser Zweifel antwortete CertiK: „Die eigentliche Frage sollte sein, warum das Tiefenverteidigungssystem von Kraken so viele Testtransaktionen nicht erkennen konnte.“Im weiteren Verlauf des Vorfalls wurden von Internetnutzern weitere Einzelheiten enthüllt. @lilbagscientist twitterte, dass Certik tatsächlich bereits am 27. Mai getestet wurde. Laut Meir Dolev, Chief Technology Officer des Sicherheitsunternehmens Cyvers, hat CertiK „ähnliche Tests bei OKX und Coinbase durchgeführt, um festzustellen, ob diese beiden Börsen die gleiche Schwachstelle wie Kraken aufweisen.“ Darüber hinaus haben Certik-bezogene Adressen in diesem Zeitraum auch mehrere Assets an Tornado und ChangeNOW gesendet, was rätselhaft ist. Conor Grogan, Produktdirektor von Coinbase, schrieb im CertiK-Kommentarbereich: „Sie wissen, dass Tornado Cash den OFAC-Sanktionen unterliegt, oder? Und Ihre Registrierung erfolgt in den Vereinigten Staaten, oder?“Darüber hinaus übermittelte Paradigm-Forschungspartner Samczsun als anerkannter Top-White-Hat-Hacker der Branche Certiks frühere Finanzierungsnachrichten (im April 2022 schloss CertiK unter der Leitung von Insight Partners, Tiger Global und Advent International eine Finanzierung in Höhe von 88 Millionen US-Dollar ab und beteiligte sich daran). Die Investmentgesellschaft (darunter Goldman Sachs, Sequoia und Lightspeed Venture) scherzte: „Ich habe mich in eine US-Börse gehackt, 3 Millionen US-Dollar gestohlen und Investitionen über OFAC-blockierte Protokolle an Unternehmen gewaschen, die erklären mussten, warum sie investiert haben.“ Gebete.“Im Vergleich zu den überwältigenden Vorwürfen haben sich nicht viele Menschen für CertiK ausgesprochen, aber es gibt einige Meinungen, über die es sich zu denken lohnt. @trading_axe antwortete im Kommentarbereich von CertiK: „Wenn Sie Vermögenswerte stehlen wollen, warum sollten Sie sich dann mit 3 Millionen Dollar zufrieden geben? Sie sollten alles nehmen und um Ihr Leben rennen … nur 3 Millionen hacken und dann gezwungen werden, sie zurückzugeben, nur würde es aussehen.“ albern.“ Tatsächlich wäre es dumm von CertiK, nur für die 3 Millionen Dollar zu „stehlen“.

@BoxMrChen nutzte seine eigene Erfahrung als White Hat, um sein Verständnis für das Verhalten der CertiK-Sicherheitsforscher zum Ausdruck zu bringen. @BoxMrChen sagte, dass tatsächlich viel hinter Bug Bounty steckt. Einige Projektparteien können die Gewährung von Kopfgeldern an White-Hat-Hacker mit der Begründung „doppelte Schwachstellenmeldungen“ verweigern oder das Risikoniveau von Schwachstellen bewusst herabsetzen und die Anzahl der Kopfgelder reduzieren. Darüber hinaus müssen White-Hat-Hacker immer noch auf den Genehmigungsprozess warten, selbst wenn die Projektpartei großzügig Zehntausende Dollar an Token-Kopfgeld bereitstellt. Oft sind Monate vergangen und der Token ist um 90 % gefallen, während das Kopfgeld noch besteht genehmigt.

@BoxMrChen spekuliert, dass die Sicherheitsforscher von CertiK einfach darauf warten wollten, bis die Kraken-Risikokontrolle es herausfindet, und dann mit ihnen verhandeln wollten. Erst nachdem Kraken fünf Tage lang nichts passiert zu sein schien, begannen sie, Schwachstellenberichte einzureichen. @BoxMrChen kam zu dem Schluss: „Was CertiK tut, ist in der Tat umstritten, aber wie viel sind sogenannte Unschuld und Gerechtigkeit in diesem Kreis wert? Im Vergleich dazu würde ich lieber wissen, wie viel White-Hat-Kopfgeld Kraken bereit ist, CertiK zu zahlen, um zu sehen, was passiert.“ . Ist es CertiK, der gierig und gerissen ist, oder Kraken, der gierig und gerissen ist?“

Derzeit gab CertiK bekannt, dass alle Gelder zurückgegeben wurden und dass dieser Vorfall nicht mit dem Verlust echter Benutzergelder einhergeht. CertiK gab an, mehrere groß angelegte Tests durchgeführt zu haben, um die Grenzen des Kraken-Schutzes und der Risikokontrolle zu testen. Aber nach mehreren Tests über mehrere Tage und fast drei Millionen Kryptowährungen wurden keine Warnungen ausgelöst. Darüber hinaus gab CertiK an, nicht am Kopfgeldprogramm von Kraken teilgenommen zu haben. Es kontaktierte Kraken-Beamte und CSO Nick lediglich über Twitter und LinkedIn und schickte schließlich einen detaillierten Bericht per E-Mail. Darüber hinaus „hat das Team nie Kopfgeldforderungen gestellt.“

Zu diesem Zeitpunkt hat CertiK noch nicht auf die Frage der Übertragung einiger Vermögenswerte an Tornado und ChangeNOW reagiert. Kraken hat sich noch nicht zu den Vermögenswerten geäußert, die CertiK zurückgegeben hat. Wer hat gelogen? Nur CertiK und Kraken selbst wissen es. Bei allen Informationen handelt es sich derzeit nur um Spekulationen und es ist nicht bekannt, ob es in Zukunft tatsächliche Beweise, wie zum Beispiel Chat-Aufzeichnungen, geben wird. Soweit CertiK die Gelder zurückgegeben hat, wird diese Angelegenheit möglicherweise mit einer sogenannten „Versöhnung“ enden.

Autor: TechubNews; von „DeHao“, einer offenen Content-Plattform von ChainDD. Dieser Artikel stellt nur die Meinung des Autors dar und stellt nicht die offizielle Position von ChainDD dar. Für „DeHao“-Artikel wird die Originalität und Authentizität garantiert Mitwirkender. Wenn das Manuskript plagiiert, gefälscht usw. ist und dies rechtliche Konsequenzen hat, ist der Mitwirkende für die Veröffentlichung des Artikels auf der Dehao-Plattform verantwortlich Die Leser werden gebeten, den Inhalt zu überwachen. Sobald die Plattform bestätigt ist, wird sie sofort offline geschaltet. Wenn Sie Probleme mit dem Artikelinhalt haben, wenden Sie sich bitte an WeChat: chaindd123