Escrito por: Yangz, Techub News
Ayer por la tarde, el director de seguridad de Kraken, Nick Percoco, publicó un documento que revela que el equipo de Kraken recibió un informe de recompensa por errores el 9 de junio, diciendo que había descubierto una vulnerabilidad "extremadamente grave" que permitía a los atacantes aumentar artificialmente las cuentas sin completar el saldo del depósito. . Aunque el equipo de Kraken solucionó la vulnerabilidad en cuestión de horas, una investigación en profundidad reveló que la vulnerabilidad fue explotada por tres cuentas. La información KYC de una de las cuentas afirmaba ser un "investigador de seguridad" y aprovechó la vulnerabilidad para depositar 4 dólares en criptomonedas en su cuenta y luego presentó un informe de recompensa por errores.
Pero lo más importante es que el "investigador" reveló la vulnerabilidad a otras dos personas que trabajaban con ellos, lo que resultó en el retiro de casi 3 millones de dólares de la tesorería de Kranken.
Percoco dijo que debido a que el informe inicial no reveló completamente los detalles de la vulnerabilidad, el equipo se comunicó con la cuenta mencionada anteriormente y planeó organizar una devolución de fondos de acuerdo con el proceso normal de recompensa por errores y recompensar su "comportamiento de sombrero blanco". Pero inesperadamente, el "investigador de seguridad" solicitó una llamada al equipo de desarrollo comercial de Kraken y dijo que no se devolverían fondos a menos que la vulnerabilidad fuera recompensada con la cantidad de daño que podría causar. De esta manera, los "hackers de sombrero blanco" se convirtieron instantáneamente en "extorsión". Percoco también decidió no revelar el nombre de "esta empresa de investigación" y trató el asunto como un caso penal, planeando coordinarse con las fuerzas del orden. Pensé que el asunto estaría terminado por el momento, pero sorprendentemente, la empresa de seguridad CertiK automáticamente se levantó tres horas después de que Percoco publicara el artículo, diciendo que había descubierto una vulnerabilidad de seguridad en Kraken y que la vulnerabilidad podría conducir a cientos de personas. de millones de dólares en pérdidas.
CertiK dijo que a través de las pruebas, descubrió tres problemas importantes con Kraken y que no se activaron alertas de Kraken durante el período de prueba de varios días. CertiK dijo que Kraken tardó varios días en responder después de informar formalmente la vulnerabilidad. Además, después de que se solucionó la vulnerabilidad, el equipo de operaciones de seguridad de Kraken también amenazó a los empleados individuales de CertiK con reembolsar cantidades no coincidentes de criptomonedas en un período de tiempo irrazonable, sin siquiera proporcionar una dirección de pago. Durante un tiempo, ambos lados del enfrentamiento insistieron en sus propias opiniones. Kraken consideró el comportamiento de CertiK como "criminal", mientras que CertiK exigió que Kraken "detuviera cualquier amenaza a los piratas informáticos de sombrero blanco".
Con respecto a este asunto, hubo mucha discusión en CT, pero las revisiones estaban básicamente sesgadas hacia culpar a CertiK. En particular, resulta desconcertante por qué CertiK realizó pruebas durante varios días antes de informar de la vulnerabilidad a Kraken. Ante esta duda, la respuesta de CertiK fue que “la verdadera pregunta debería ser por qué el sistema de defensa en profundidad de Kraken no pudo detectar tantas transacciones de prueba”.
A medida que se desarrolló el incidente, los internautas revelaron más detalles. @lilbagscientist tuiteó que Certik fue probado ya el 27 de mayo. Según Meir Dolev, director de tecnología de la empresa de seguridad Cyvers, CertiK "ha realizado pruebas similares en OKX y Coinbase para determinar si estos dos intercambios tienen la misma vulnerabilidad que Kraken". Además, las direcciones relacionadas con Certik también enviaron varios activos a Tornado y ChangeNOW durante este período, lo cual resulta confuso. El director de producto de Coinbase, Conor Grogan, escribió en el área de comentarios de CertiK: "Sabes que Tornado Cash está sujeto a sanciones de la OFAC, ¿verdad? Y tu registro está en los Estados Unidos, ¿verdad?".
Además, como uno de los mejores hackers de sombrero blanco reconocidos en la industria, el socio de investigación de Paradigm, Samczsun, transmitió las noticias financieras anteriores de Certik (en abril de 2022, CertiK completó una financiación de 88 millones de dólares, liderada por Insight Partners, Tiger Global y Advent International, y participó en La inversión (incluidas Goldman Sachs, Sequoia y Lightspeed Venture) bromeó: “Hackeé una bolsa de EE. UU., robé $ 3 millones y lavé inversiones a través de protocolos bloqueados por la OFAC a empresas que tuvieron que explicar por qué invirtieron. Los socios envían sus condolencias y. oraciones."
En comparación con las abrumadoras acusaciones, no mucha gente se ha pronunciado a favor de CertiK, pero hay algunas opiniones en las que vale la pena pensar. @trading_axe respondió en la sección de comentarios de CertiK: "Si quieres robar activos, ¿por qué conformarte con 3 millones de dólares? Deberías tomarlo todo y correr para salvar tu vida... sólo hackear 3 millones y luego verte obligado a devolverlos, sólo que parecería tonto." De hecho, sería tonto que CertiK "robar" sólo por los $ 3 millones.
@BoxMrChen utilizó su propia experiencia como sombrero blanco para expresar su comprensión del comportamiento de los investigadores de seguridad de CertiK. @BoxMrChen dijo que en realidad hay mucho detrás de la recompensa por errores. Algunas partes del proyecto pueden negarse a ofrecer recompensas a los piratas informáticos de sombrero blanco basándose en "presentaciones de vulnerabilidades duplicadas", o reducir deliberadamente el nivel de riesgo de las vulnerabilidades y reducir el número de recompensas. Además, incluso si el grupo del proyecto ofrece generosamente decenas de miles de dólares en recompensas simbólicas, los hackers de sombrero blanco todavía tienen que esperar el proceso de aprobación. A menudo, han pasado meses y el token ha disminuido en un 90%, mientras que la recompensa aún se mantiene. aprobado.
@BoxMrChen especula que los investigadores de seguridad de CertiK solo querían esperar a que el control de riesgos de Kraken se enterara y luego negociara con ellos. Sólo después de 5 días, cuando a Kraken no pareció pasarle nada, comenzaron a enviar informes de vulnerabilidad. @BoxMrChen concluyó: “Lo que hace CertiK es realmente controvertido, pero ¿cuánto vale la llamada inocencia y justicia en este círculo? En comparación con esto, preferiría saber cuánta recompensa de sombrero blanco está dispuesto Kraken a pagar a CertiK para ver qué sucede. ¿Es CertiK el que es codicioso y astuto, o Kraken el que es codicioso y astuto?
Actualmente, CertiK anunció que se han devuelto todos los fondos y que este incidente no implica la pérdida de fondos reales de los usuarios. CertiK dijo que realizó múltiples pruebas a gran escala porque quería probar los límites de la protección y el control de riesgos de Kraken. Pero después de múltiples pruebas durante varios días y casi tres millones de criptomonedas, no se activó ninguna alerta. Además, CertiK declaró que no participó en el programa de recompensas de Kraken. Solo se comunicó con los funcionarios de Kraken y con el CSO Nick a través de Twitter y LinkedIn, y finalmente envió un informe detallado por correo electrónico. Además, "el equipo nunca ha solicitado ninguna recompensa".
En este punto, este incidente ha llegado a su fin. CertiK no ha respondido al asunto de la transferencia de algunos activos a Tornado y ChangeNOW. Kraken aún no ha comentado sobre los activos que ha devuelto CertiK. ¿Quién mintió? Sólo CertiK y Kraken lo saben. Toda la información actual es solo especulación y se desconoce si habrá evidencia real en el futuro, como registros de chat. En cuanto a que CertiK haya devuelto los fondos, tal vez este asunto termine con la llamada "reconciliación".
Autor: TechubNews; de "DeDehao", una plataforma de contenido abierto de ChainDD. Este artículo solo representa la opinión del autor y no representa la posición oficial de ChainDD. Para los artículos de "DeHao", la originalidad y autenticidad del contenido están garantizadas. colaborador. Si el manuscrito es plagiado, falsificado, etc., y se causan consecuencias legales, el colaborador será responsable de la publicación del artículo en la plataforma Dehao si hay alguna infracción, violación de las regulaciones u otro discurso inapropiado. contenido, se solicita a los lectores que lo supervisen. Una vez confirmado, la plataforma se desconectará de inmediato. Si tiene algún problema con el contenido del artículo, comuníquese con WeChat: chaindd123
