Šajā rakstā mēs runājam par neticamu stāstu: pirms dažām dienām auditorkompānija Certik atklāja kriptovalūtu biržas Kraken drošības sistēmu nepilnību, kas var izraisīt nopietnu uzlaušanu.

Pēc dažu testu veikšanas 3 dienu garumā un 3 miljonu dolāru vērtā “baltā haka” uzbrukuma veikšanas Certiks sazinājās ar Krakenu, lai informētu to par kļūdu, taču sākotnēji atteicās nekavējoties atdot nozagto summu.

Kriptogrāfijas birža nekavējoties sazinājās ar tiesībaizsardzības iestādēm, uzskatot situāciju par krimināllietu, savukārt kriptogrāfijas drošības firma uzstāj, ka tā ir tipiska "balvu programmas" pārbaude. Tagad šķiet, ka līdzekļi ir atgriezti.

Apskatīsim visu sīkāk zemāk.

3 miljonu dolāru uzlauzums pret kriptovalūtu biržu Kraken: Certik ir atbildīgs, bet atsakās atdot naudu

Šis stāsts sākas 2024. gada 9. jūnijā, kad kriptovalūtu birža Kraken saņem neformālu paziņojumu no “drošības pētnieka”, kurš apgalvo, ka platformā ir atklājis ievainojamību, kas varētu būt izraisījusi liela mēroga uzlaušanu.

Kā ziņots pēcnāves tvītā, ko rakstījis Krakenas galvenais drošības speciālists Niks Perkoko, pētnieks bija uzsvēris noguldījumu drošības sistēmu trūkumu (nespēja atšķirt dažādus iekšējās pārsūtīšanas stāvokļus), kas lietotājiem ļauj palielināt līdzsvaru un izņemt vairāk monētu, nekā viņiem faktiski ir pieejams. Birža nekavējoties veica darbības, lai atrisinātu problēmu, un tikai 47 minūšu laikā ekspertu komandai izdevās novērst kļūdu.

Lūk, ko ziņoja Percoco:

“Kļūda ļāva ļaunprātīgam uzbrucējam piemērotos apstākļos uzsākt depozītu mūsu platformā un saņemt līdzekļus savā kontā, pilnībā nepabeidzot depozītu. Lai būtu skaidrs, neviens klientu īpašums nekad nebija apdraudēts.

Kraken drošības atjauninājums:

2024. gada 9. jūnijā mēs saņēmām programmas Bug Bounty brīdinājumu no drošības pētnieka. Sākotnēji informācija netika atklāta, taču viņu e-pastā tika apgalvots, ka viņi atrada "ārkārtīgi kritisku" kļūdu, kas ļāva viņiem mākslīgi palielināt līdzsvaru mūsu platformā.

— Niks Perkoko (@c7five), 2024. gada 19. jūnijs

Pagaidām viss ir normāli, izņemot to, ka tas pats apsardzes uzņēmums web3, kurā strādā pētnieks, kurš sazinājās ar Kraken, pirms oficiāli ziņošanas par kļūdu, platformā būtu veicis vairākus uzlauzumus kopumā par 3 miljoniem dolāru.

Uzreiz pēc Percoco ieraksta publicēšanas pazīstamā auditorfirma Certik nekavējoties uzņēmās atbildību par incidentu un atklāja savu izšķirošo lomu šajā jautājumā.

Certiks esot “pārbaudījis” Kraken aizsardzības mehānismus, veicot liela mēroga uzbrukumu un izņemot lielu daudzumu MATIC žetonu no 3 dažādiem kontiem, pēc tam notīrot līdzekļu pēdas caur Tornado Cash mikseri.

 Kā skaidro biržas apsardzes menedžeris, pēc problēmas novēršanas Krakens lūdzis Certikam atdot līdzekļus, taču viņa sākotnēji atteikusies.

Neskatoties uz to, Certik uzstāj, ka tā darbība atbilst “baltā haka” principiem.

Acīmredzot Certik neminēja 3 kontu izmantotāja lomu incidentā, lai gan viņš veica izņemšanas pārbaudes 3 dienu laikā pirms saziņas ar Krakenu.

Drošības pētnieks, kurš pamanīja kļūdu, būtu prasījis ievērojamu atlīdzību par to, ka bija atklājis lielu trūkumu, kas varētu būt pāraugt smagā uzlaušanā, taču Krakens uzstāja, lai viņu līdzekļi tiktu atgūti.

Tā kā auditorkompānija atteicās atdot laupījumu un, šķiet, bija mēģinājusi slēpt uzlaušanas pierādījumus, birža nolēma izturēties pret situāciju tā, it kā tā būtu krimināllieta, informējot kompetentās iestādes un tiesībaizsardzības iestādes.

Web3 drošības uzņēmums bija pieprasījis apmaiņai atlīdzību, kas ir vienāda ar summu, ko varētu izraisīt šī kļūda, ja tā netiktu atklāta, satracinot apmaiņas platformas komandu.

Percoco komentēja notikušo savā X profilā, parādot visu savu pretestību Certika uzvedībai:

"Tā nav baltā uzlaušana, tā ir izspiešana."

Mēs neatklāsim šo pētījumu uzņēmumu, jo tas nav pelnījis atzinību par savu rīcību. Mēs to izskatām kā krimināllietu un attiecīgi sadarbojamies ar tiesībsargājošajām iestādēm. Mēs esam pateicīgi, ka tika ziņots par šo problēmu, taču ar to šī doma beidzas.

— Niks Perkoko (@c7five), 2024. gada 19. jūnijs

Certik noliegums: līdzekļi tika atgriezti, lai gan daži darbinieki bija saņēmuši draudus no Kraken komandas

Pēc tam, kad Certik iepazīstināja sevi kā uzņēmumu, kas ir atbildīgs par depozīta sistēmu defektu noteikšanu, nekavējoties noliedza Kraken ziņoto, uzsverot tā "baltā hack" lomu un pozitīvos nodomus.

Uzņēmums atklāja, ka ir izveidojis liela mēroga uzlaušanu par summu 3 miljonu dolāru apmērā, lai pārbaudītu biržas aizsardzību, taču tā arī uzsvēra, ka nekad nav atteikusies atdot laupījumu, bet drīzāk vēlas nodrošināt, ka viss tika izpildīts pareizi.

Certika sacīja, ka viņu pārsteidza iespējamā negatīvā ietekme, ko kļūda varēja izraisīt, bet jo īpaši tas, ka Krakena trauksmes signāli nekad netika aktivizēti. Tas tika teikts ierakstā: 

“Miljoniem dolāru var iemaksāt JEBKURĀ Kraken kontā. No konta var izņemt milzīgu kriptovalūtu daudzumu (vairāk nekā 1 miljons+ USD vērtībā) un pārvērst par derīgām kriptovalūtām. Vēl ļaunāk, vairāku dienu testēšanas periodā brīdinājumi netika aktivizēti.

Turklāt auditorfirma paskaidroja, ka apmaiņas komandas loceklis bija piedraudējis savam pētniekam nepamatotā termiņā (6 stundas) atgriezt summu, tomēr nenorādot atmaksas adresi.

Tas notika pēc tam, kad dažas dienas pēc uzlaušanas abiem uzņēmumiem bija zvans, lai mēģinātu atrast risinājumu un atrisināt problēmu.

CertiK nesen atklāja virkni kritisku ievainojamību @krakenfx apmaiņā, kas potenciāli varētu radīt simtiem miljonu dolāru zaudējumus.

Sākot ar atradumu @krakenfx depozīta sistēmā, kurā var neizdoties atšķirt dažādus iekšējos… pic.twitter.com/JZkMXj2ZCD

— CertiK (@CertiK) 2024. gada 19. jūnijs

Acīmredzot haosu izraisīja Krakena piedāvātā balvas summa, kas netika uzskatīta par atbilstošu ieguldītajām pūlēm un novērstajai potenciālajai izmantošanai. Kā ziņoja Kraken pārstāvis Coindesk:

“Mēs godprātīgi iesaistījām šos pētniekus un saskaņā ar desmit gadu ilgo kļūdu novēršanas programmas pārvaldību bijām piedāvājuši ievērojamu atlīdzību par viņu pūlēm. Mēs esam vīlušies par šo pieredzi un tagad sadarbojamies ar tiesībaizsardzības iestādēm, lai atgūtu īpašumus no šiem drošības pētniekiem.

Šodien Certik publicēja vēl vienu ziņu ar dažiem FAQ, lai vēl vairāk noskaidrotu viņu nostāju un novērstu visas šaubas.

Apsardzes kompānija atkārtoti norāda, ka ir "konsekventi" apstiprinājusi, ka atdos nozagto summu, un norāda, ka tagad visi līdzekļi ir atgriezušies Krakena rokās.

Šie līdzekļi tika nosūtīti atpakaļ sūtītājam 734,19 215 ETH, 29 001 USD un 1021,1 XMR, savukārt birža bija skaidri lūgusi nosūtīt 155818,4468 MATIC, 907400,1803 USD par ekvivalentu 475,555781 ETH par 7 a3 A7,7 MR apmēram 100 000 dolāru .

Jautājumi un atbildes par nesenajām CertiK-Kraken whitehat operācijām:

1. Vai kāds reāls lietotājs zaudēja līdzekļus?
Nē. Kriptas tika kaltas no gaisa, un neviens īsts Kraken lietotāja īpašums nebija tieši iesaistīts mūsu pētniecības darbībās.

2. Vai esam atteikušies atdot līdzekļus?
Nē. Mūsu saziņā ar…

— CertiK (@CertiK) 2024. gada 20. jūnijs

Krakens joprojām stingri ievēro savu “baltās uzlaušanas” ētikas koncepciju un apgalvo, ka Certik veikto iebiedēšanu var identificēt kā izspiešanu.

Apmaiņas programma Bounty patiešām pieprasa trešajām pusēm atrast problēmu, izmantot minimālo summu, kas nepieciešama, lai pārbaudītu kļūdu (neveicot 3 miljonu dolāru uzlaušanu), atgrieztu resursus un sniegtu informāciju par ievainojamību.