Eksperti saskrāpē galvu saistībā ar CertiK 3 miljonus dolāru vērto Kraken uzlaušanu: “Tas ir tik stulbi”

Kad kriptovalūtu auditors CertiK trešdien paziņoja, ka tā darbinieki atklājuši un izmantojuši kļūdu Krakenā, ASV biržā, par 3 miljoniem ASV dolāru, tika paceltas uzacis.

Kad CertiK pēc tam paziņoja, ka tā sauktās baltās cepures operācijas ietvaros ir atdevusi līdzekļus ASV biržai, uzņēmumu skāra viena īpaši aizkaitināta spēlētāja - Krakena - domstarpības.

"Tā nav uzlaušana ar balto cepuri, tā ir izspiešana!" Niks Perkoko, Krakenas galvenais drošības virsnieks, trešdien paziņoja X ziņojumā.

Percoco sacīja, ka tie, kas atrada kļūdu, sacīja, ka neatgriezīs nekādus līdzekļus, kamēr Krakens neatklās, cik lielu kaitējumu tā varēja nodarīt.

CertiK ilgi atbildēja uz Krakena paziņojumiem. "Viņi mūs publiski apsūdzēja zādzībās un pat tieši draudēja mūsu darbiniekiem, kas ir pilnīgi nepieņemami."

CertiK darbības neparastais ilgums un milzīgais 3 miljonu ASV dolāru lielums izraisīja daudz jautājumu. Parasti whitehat kiberaizsardzības testos tiek iegūta minimāla naudas summa, lai tikai parādītu ievainojamību.

"Tas ir neticami liels daudzums, kas jāņem vērā, lai gūtu labumu no whitehat izmantošanas," DL News sacīja Maikls Levelens, konkurējošās auditorfirmas OpenZeppelin risinājumu vadītājs.

Levelens sacīja, ka drošības pētnieki ir atlaisti par šādu uzvedību.

"Ja drošības pētnieks kādā citā cienījamā auditorfirmā izdarītu šāda veida noziegumus, viņi nekavējoties tiktu atlaisti un noraidīti," viņš teica.

"Jūs nekad nezog naudas līdzekļus no klienta, ja vien nepastāv tiešas briesmas, jo nav laika brīdināt komandu, un pat tad jūs uzņematies lielu risku, ko daudzas auditorfirmas šo iemeslu dēļ nevēlas uzņemties."

"Brīdī, kad atklājat, ka kaut kas nav kārtībā, jums ir jāsniedz rokas par lietotāju drošību."

Paskāls Kaversačo, drošības pētnieks

Neatkarīgs drošības pētnieks Paskāls Kaversačo sacīja, ka ir dīvaini, ka CertiK veiktā Kraken sistēmas pārbaude ilga vairākas dienas. To vajadzēja atrisināt dažu minūšu laikā.

"Brīdī, kad atklājat, ka kaut kas nav kārtībā, jums ir jāsazinās ar lietotāju drošību," viņš teica DL News. "Tas ir tik stulbi. Ne tikai no drošības, bet arī no biznesa perspektīvas.

Ir arī citas novirzes.

Onchain ieraksti liecina, ka ar CertiK saistīta adrese nosūtīja līdzekļus DeFi protokolam Tornado Cash, ko sankcionēja ASV Valsts kases departamenta Ārvalstu aktīvu kontroles birojs jeb OFAC.

Tornado Cash leņķis

Lai gan CertiK ir atdevis aktīvus Krakenam, dažu līdzekļu nosūtīšana caur Tornado Cash varētu pārkāpt ASV sankcijas. Saskaņā ar OFAC tīmekļa vietni sodi par to var pārsniegt vairākus miljonus dolāru.

Levelens teica, ka Tornado Cash izmantošana whitehat uzlaušanai ir dīvaina.

"Es nekad neesmu dzirdējis par Whitehat, kas izmantotu Tornado Cash, īpaši ņemot vērā sankciju risku," viņš teica. "Jūs parasti neizmantojat Tornado Cash pēcsankciju, ja vien jūs jau neesat izdarījis noziegumu un sankciju pārkāpšanas risks ir lielāks."

Citas līdzekļu daļas, ko CertiK izņēma no Kraken, tika nosūtītas uz ChangeNOW — kriptovalūtu biržu, kurai nav nepieciešamas klientu atpazīšanas pārbaudes. CertiK arī apmainīja USDT stabilās monētas, kuras izņēma no Kraken, pret ETH.

"Ja jūs esat baltā cepure, jūs to nedariet," sarunā ar X sacīja kriptovalūtu drošības eksperts Teilors Monahans.

CertiK nekavējoties neatbildēja uz komentāru pieprasījumu un nav publiski pievērsies šiem darījumiem.

Tims Kreigs ir DL News DeFi korespondents. Vai jums ir padoms? Nosūtiet viņam e-pastu uz tim@dlnews.com.