Kraken Recovers $3M As Criticism Mounts Against CertiK

Cryptopolitan · 2024-06-21T00:03:01.000Z

The crypto community has heavily criticized blockchain security firm CertiK for its issues with the crypto exchange Kraken. On June 19, the company revealed itself as the ‘security research’ company Kraken had attributed a theft worth $3 million worth of digital assets to. Also read: Kraken reveals bug allowed rogue ‘security researchers’ to exploit $3M Kraken’s chief security officer Nick Percoco had revealed that an unnamed “security researcher” had exploited a bug on the crypto exchange to steal millions in digital assets. Percoco continued that the researcher had refused to return the stolen funds and instead chose to extort the exchange for a speculative amount. Kraken recovers stolen funds A few hours after Kraken’s revelation, CertiK stated that it had informed Kraken of the exploit that allowed it to withdraw the funds from the exchange’s accounts. The security firm posted a timeline of the events and claimed that Kraken threatened its employees. It stated: “After initial successful conversations on identifying and fixing the vulnerability, Kraken’s security operation team has THREATENED individual CertiK employees to repay a MISMATCHED amount of crypto in an UNREASONABLE time even WITHOUT providing repayment addresses.” CertiK’s Timeline of issues with Kraken. (Source: CertiK) Nevertheless, CertiK revealed that it would transfer the “stolen” funds to an account that Kraken can access. By June 20, Percoco confirmed that Kraken had received all the funds, less the transaction fees. CertiK’s actions attract criticism While Kraken would be celebrating fixing a critical bug and recovering funds, CertiK is now facing a barrage of criticism from the crypto community for its role in the events. Taylor Monahan, a crypto security expert, questioned why the blockchain security firm performed more than one test transaction to prove the existence of the vulnerability. Also read: Kraken Considers Delisting USDT in Response to New EU Regulations Furthermore, the community questioned CertiK’s motive in moving some of the Kraken funds through the OFAC-sanctioned crypto mixer Tornado Cash and its use of ChangeNOW, a non-custodial crypto exchange with lax know-your-customers processes. However, CertiK insists that it made the right decision. The firm noted that its test lasted for five days and was on such a grand scale because it was trying to discover how weak the Kraken security system was. It stated: “The real question should be why Kraken’s in-depth defense system failed to detect so many test transactions. This is indeed what we were testing. You often heard from a weak exchange’s response to a security bug finding with a brag of their strong risk control and in-depth defense system (that they claim would prevent any significant loss). CertiK put this to the test with Kraken, and they failed miserably.” It also denied ever asking for a bounty and claimed it consistently assured Kraken of its plan to return the funds. Cryptopolitan reporting by Oluwapelumi Adejumo

La communauté crypto a fortement critiqué la société de sécurité blockchain CertiK pour ses problèmes avec l'échange crypto Kraken. Le 19 juin, la société s’est révélée être la société de « recherche en sécurité » à laquelle Kraken avait attribué un vol d’actifs numériques d’une valeur de 3 millions de dollars. 
A lire aussi : Kraken révèle qu’un bug a permis à des « chercheurs en sécurité » malveillants d’exploiter 3 millions de dollars
Nick Percoco, responsable de la sécurité de Kraken, a révélé qu'un « chercheur en sécurité » anonyme avait exploité un bug sur l'échange cryptographique pour voler des millions d'actifs numériques. Percoco a ajouté que le chercheur avait refusé de restituer les fonds volés et avait plutôt choisi d'extorquer l'échange pour un montant spéculatif.
Kraken récupère les fonds volés
Quelques heures après la révélation de Kraken, CertiK a déclaré avoir informé Kraken de l'exploit qui lui avait permis de retirer les fonds des comptes de la bourse. La société de sécurité a publié une chronologie des événements et affirmé que Kraken avait menacé ses employés. Il a déclaré :
"Après des premières conversations fructueuses sur l'identification et la correction de la vulnérabilité, l'équipe des opérations de sécurité de Kraken a MENACÉ des employés individuels de CertiK de rembourser un montant INCOMPARABLE de crypto dans un délai DÉRAISONNABLE, même SANS fournir d'adresses de remboursement."
 Chronologie des problèmes avec Kraken de CertiK. (Source : Certik)
Néanmoins, CertiK a révélé qu'il transférerait les fonds « volés » vers un compte auquel Kraken peut accéder. Le 20 juin, Percoco a confirmé que Kraken avait reçu tous les fonds, moins les frais de transaction.
Les actions de CertiK suscitent des critiques
Alors que Kraken célèbre la correction d'un bug critique et la récupération des fonds, CertiK fait maintenant face à un barrage de critiques de la part de la communauté crypto pour son rôle dans les événements. Taylor Monahan, un expert en sécurité cryptographique, s'est demandé pourquoi la société de sécurité blockchain avait effectué plus d'une transaction test pour prouver l'existence de la vulnérabilité.
A lire également : Kraken envisage de radier l'USDT de la liste en réponse aux nouvelles réglementations de l'UE
En outre, la communauté a remis en question la motivation de CertiK à transférer une partie des fonds Kraken via le mélangeur cryptographique sanctionné par l'OFAC, Tornado Cash, et son utilisation de ChangeNOW, un échange cryptographique non dépositaire avec des processus laxistes de connaissance de vos clients.
Cependant, CertiK insiste sur le fait qu’elle a pris la bonne décision. La société a indiqué que son test avait duré cinq jours et qu'il était à grande échelle car il tentait de découvrir la faiblesse du système de sécurité Kraken. Il a déclaré :
« La vraie question devrait être de savoir pourquoi le système de défense en profondeur du Kraken n’a pas réussi à détecter autant de transactions tests. C'est effectivement ce que nous avons testé. Vous avez souvent entendu la réponse d'une bourse faible à la découverte d'un bug de sécurité en se vantant de son contrôle rigoureux des risques et de son système de défense en profondeur (qui, selon eux, empêcherait toute perte importante). CertiK a mis cela à l’épreuve avec Kraken, et ils ont lamentablement échoué.
Il a également nié avoir jamais demandé une prime et affirmé avoir constamment assuré à Kraken son intention de restituer les fonds.
Reportage cryptopolitain d'Oluwapelumi Adejumo

Kraken récupère 3 millions de dollars alors que les critiques montent contre CertiK

Découvrez-en plus sur le créateur

Dernières actualités