Kad Niks Perkoko, Krakena galvenais drošības dienesta darbinieks, uzzināja, ka birža pagājušajā mēnesī ir uzlauzta par 3 miljoniem USD, viņš lidoja 40 000 pēdu augstumā ceļā uz pelnītām brīvdienām.
Taču tā vietā, lai atpūstos Japānā, Percoco bija jāķeras pie pārkāpuma un jāpalīdz pārvaldīt vienu no vissmagākajām drošības krīzēm, lai ietriektos pasaules septītajā lielākajā kriptovalūtu biržā.
"Es tikko saņēmu Wi-Fi piekļuvi lidojumā," Perkoko pastāstīja DL News. “Es pēdējā brīdī sazinājos ar cilvēkiem darbā, lasīju ziņas Twitter. Un redzēja to un pēc tam novirzīja viņus uz kļūdu balvām.
19. jūnijā Kraken atklāja, ka neatkarīgs drošības pētnieks ziņoja par kritisku ievainojamību biržas kļūdu atlīdzības programmā.
Šīs programmas piedāvā uzbrucējiem naudu apmaiņā pret projektu ievainojamību identificēšanu.
Šī īpašā vājība ļāva pētniekam pēc vēlēšanās ieskaitīt naudu savos Kraken kontos. Slēdzis strādāja drošības un kriptovalūtu audita uzņēmumā CertiK, kas paziņoja, ka ir identificējis šo ievainojamību.
Piecu dienu laikā CertiK no biržas izņēma kriptovalūtu 3 miljonus USD, sacīja Percoco.
Tas ir ļoti neparasti. Apsardzes firmām nevajadzētu izmantot ievainojamību tik ilgi un par tik lielu naudu, sacīja Percoco.
Līdzekļi galu galā tika atgriezti, un kļūda tika novērsta 47 minūtēs. Tomēr tā bija pārsteidzoša epizode pat pēc kriptovalūtas standartiem.
Tas bija masīvs pārkāpums vienai no vispazīstamākajām biržām nozarē. 2011. gadā dibinātā Krakena izaugsme ir sinonīms Bitcoin institucionalizācijai.
Janvārī tika apstiprināti 11 dažādi vietas Bitcoin ETF. Mēnešus vēlāk Kraken piesaista līdzekļus pirms iespējamā sākotnējā publiskā piedāvājuma.
Arī ekspluatācija bija dīvaina. CertiK, uzņēmums, kura pamatā ir šifrēšanas koda nodrošināšana, šķiet, pārkāpj gandrīz visus nozares standartus attiecībā uz kļūdu piemaksām. Viņi pat mēģināja izveidot pārdošanas zvanu ar Krakena drošības komandu visā sabrukuma laikā.
CertiK nekavējoties neatbildēja uz DL News komentāru pieprasījumu.
Tvītā Percoco sacīja, ka CertiK izspiež apmaiņu, nevis uzlaušanu ar balto cepuri.
Pamatnoteikumi
Kļūdu atlīdzības programmas ir izplatītas kriptovalūtu un tehnoloģiju nozarēs.
Jebkurš šifrēšanas projekts, kura kods ir vērts, atliek naudu vairākām viedo līgumu revīzijām un vēl vienu summu, lai atalgotu viltīgus, bet ētiskus hakerus, kuri identificē kļūdu.
Pagājušajā mēnesī viens pētnieks nopelnīja 2 miljonus ASV dolāru, identificējot kļūdu 1. slāņa tīklā Sei. Kraken maksā līdz pat 1,5 miljoniem ASV dolāru par tādām kritiskām kļūdām, kāda notika nesen.
Percoco, drošības pētnieks kopš 90. gadu beigām, saka, ka Krakena programma pastāv jau desmit gadus. Tās iesūtne tiek piepildīta ar viltotiem varoņdarbiem no cilvēkiem, kuri meklē ātru izmaksu.
Viņš pat uzskatīja, ka CertiK ziņojums ir viltots.
“Saziņa bija “jums jāsazinās ar mums, cik drīz vien iespējams”, un nebija kontaktinformācijas. Es pat nevarēju nosūtīt ziņojumu, ”viņš teica. "Bija nedaudz apšaubāms, vai tas bija kāds, kas vienkārši mēģināja mūs izkrāpt."
Sarkanie karogi
Tomēr piecu cilvēku komandai, kas uzrauga šo iesūtni dienu un nakti, ir jāizpēta katrs ziņojums. Tā kā Kraken ikdienas tirdzniecības apjoms pārsniedz 1 miljardu ASV dolāru, uz spēles ir likts daudz.
Kontaktinformācijas trūkums nebija vienīgais sarkanais karogs, sacīja Percoco.
Bounty kolekcionāriem ir jāievēro četri noteikumi, lai ziņotu par kļūdām. Pirmkārt, viņiem ir jāziņo par kļūdu uzņēmumam, tiklīdz viņi to identificē.
Otrkārt, atlīdzības kolekcionāriem ir jāpierāda, ka viņi var izmantot kļūdu. Treškārt, sniedzot pierādījumus, viņiem ir jāņem pietiekami daudz naudas, lai pierādītu ievainojamību.
Visbeidzot, viņiem ir jāiesaista uzņēmums, lai atkārtoti pārbaudītu izmantošanu un noskaidrotu, vai uzņēmumam ir izdevies to novērst.
CertiK izmantoja atšķirīgu pieeju, pārkāpjot visus četrus noteikumus, norāda Percoco.
Kripto augšanas sāpes
Telpā ieplūstot BlackRock un Fidelity, uzmanības centrā ir drošība un kļūdas. Taču atšķirībā no citām nozarēm, kur paraugprakse ir pēdējos gados, kriptovalūtā tā var ilgt tikai dažas dienas.
Neskatoties uz pēdējo incidentu, uzņēmumi joprojām iegulda naudu kļūdu novēršanas programmās.
Saskaņā ar kļūdu atlīdzības platformu HackerOne, kriptovalūtu birža Crypto.com piedāvā 80 000 USD par kritisku kļūdu. Uzglabāšanas pakalpojums Fireblocks par līdzīgām ievainojamībām piešķir milzīgu 250 000 $ atlīdzību.
Pat publiski kotētā Coinbase maksās 1 miljonu ASV dolāru, ja varēsit iekļūt biržā.
Naudas par kļūdām ir dārgi un dažreiz neveikli drošības tīkli, taču, tā kā šogad jau ir nozagti 664 miljoni ASV dolāru, tie joprojām ir noteikti nepieciešami.
Liams Kellijs ir DL News DeFi korespondents. Sazinieties ar adresi liam@dlnews.com.