TLDR

  • Kraken atklāja kļūdu, kas ļāva lietotājiem mākslīgi palielināt atlikumus un izņemt līdzekļus, nepabeidzot noguldījumus.

  • Blokķēdes drošības firma CertiK sevi identificēja kā "drošības pētnieku", kas izmantoja kļūdu un izņēma gandrīz 3 miljonus ASV dolāru no Kraken kasēm.

  • Krakens apgalvo, ka CertiK atteicās atdot līdzekļus, kamēr apmaiņa nav sniegusi aplēsi par iespējamiem zaudējumiem, nosaucot to par "izspiešanu".

  • CertiK aizstāvēja savas darbības, norādot, ka tā pārbauda ievainojamības apmēru un ka Kraken bija draudējis saviem darbiniekiem nepamatotā termiņā atgriezt neatbilstošu līdzekļu summu.

  • Šis incidents ir izraisījis diskusijas par balto cepuru uzlaušanas ētiku un kļūdu piešķiršanas programmām kriptovalūtas nozarē.

Kriptovalūtas birža Kraken nesen atklāja, ka tā ir kļuvusi par upuri drošības ievainojamībai, kas lietotājiem ļāva mākslīgi palielināt konta atlikumus un izņemt līdzekļus, pilnībā nepabeidzot noguldījumus. Birža ziņoja, ka ekspluatācijas rezultātā no tās kasēm tika nozagti gandrīz 3 miljoni USD.

Blockchain drošības firma CertiK pieteicās, identificējot sevi kā "drošības pētnieku", kas ir atbildīgs par kļūdas izmantošanu un līdzekļu izņemšanu.

Krakenas galvenais drošības speciālists Niks Perkoko iepriekš bija apsūdzējis tobrīd nenosaukto drošības komandu "izspiešanā" par atteikšanos atdot līdzekļus, kamēr apmaiņa nav sniegusi aplēses par iespējamiem zaudējumiem, ja kļūda nebūtu izpausta.

Kraken drošības atjauninājums:

2024. gada 9. jūnijā mēs saņēmām programmas Bug Bounty brīdinājumu no drošības pētnieka. Sākotnēji informācija netika atklāta, taču viņu e-pastā tika apgalvots, ka viņi atrada "ārkārtīgi kritisku" kļūdu, kas ļāva viņiem mākslīgi palielināt līdzsvaru mūsu platformā.

— Niks Perkoko (@c7five), 2024. gada 19. jūnijs

Tomēr CertiK aizstāvēja savu rīcību, apgalvojot, ka tā ir pārbaudījusi ievainojamības apmēru un ka Kraken draudējis saviem darbiniekiem nepamatotā termiņā atgriezt neatbilstošu līdzekļu summu, pat nenorādot atmaksas adresi.

CertiK nesen atklāja virkni kritisku ievainojamību @krakenfx apmaiņā, kas potenciāli varētu radīt simtiem miljonu dolāru zaudējumus.

Sākot ar atradumu @krakenfx depozīta sistēmā, kurā var neizdoties atšķirt dažādus iekšējos… pic.twitter.com/JZkMXj2ZCD

— CertiK (@CertiK) 2024. gada 19. jūnijs

Apsardzes firma sniedza notikumu laika grafiku, detalizēti aprakstot tās mijiedarbību ar Krakenu un ekspluatācijas atklāšanu.

Saskaņā ar CertiK teikto, ievainojamība ļāva noguldīt miljoniem dolāru jebkurā Kraken kontā ar iespēju izņemt un pārvērst izgatavoto kriptovalūtu derīgās kriptovalūtās.

Uzņēmums arī apgalvoja, ka tās vairāku dienu testēšanas periodā netika aktivizēti brīdinājumi, un Kraken atbildēja un bloķēja testa kontus tikai dažas dienas pēc sākotnējās informācijas atklāšanas.

Šis incidents ir izraisījis diskusijas par balto cepuru uzlaušanas ētiku un kļūdu programmu efektivitāti.

Lai gan daži apgalvo, ka CertiK rīcība bija pamatota, lai rūpīgi pārbaudītu ievainojamību, citi uzskata, ka uzņēmums ir pārkāpis robežu, izņemot tik lielu naudas summu un atsakoties to nekavējoties atdot.

Kraken apgalvo, ka CertiK darbības neatbilst balto cepuru uzlaušanas principiem un ka tā sadarbojas ar tiesībaizsardzības iestādēm, lai atgūtu īpašumus. Birža arī uzsvēra, ka ekspluatācija neietekmēja lietotāju līdzekļus, jo nozagtā nauda nāk no paša Kraken kasēm.

The post Bug Bounty Gone Wrong: Kraken apsūdz CertiK izspiešanā, CertiK aizstāv savas darbības appeared first on Blockonomi.