Krakens apgalvo, ka CertiK bija pārmērīgs, taču kiberdrošības uzņēmums uzstāj, ka bija nepieciešama liela mēroga izņemšana, lai noskaidrotu problēmas mērogu.
Pagājušajā nedēļā Kraken paziņoja, ka kritiska kļūda ir ļāvusi drošības pētniekiem mākslīgi palielināt savu atlikumu un izņemt gandrīz 3 miljonus ASV dolāru.
Kraken drošības atjauninājums: 2024. gada 9. jūnijā mēs saņēmām brīdinājumu par programmu Bug Bounty no drošības pētnieka. Sākotnēji informācija netika atklāta, taču viņu e-pastā tika apgalvots, ka viņi atrada "ārkārtīgi kritisku" kļūdu, kas ļāva viņiem mākslīgi palielināt līdzsvaru mūsu platformā.
— Niks Perkoko (@c7five), 2024. gada 19. jūnijs
Bet visā incidentā bija kaut kas neticami neparasts, un tas beidzās ar vārdu karu starp kriptovalūtu biržu un lielu kiberdrošības uzņēmumu.
Krakena galvenais drošības virsnieks Niks Perkoko sāka darbu, paziņojot, ka ir atrasts trūkums, kas ļāva ļaunprātīgiem dalībniekiem izdrukāt līdzekļus kontā.
Problēmas mazināšanai bija nepieciešamas 47 minūtes un pilnīgai novēršanai dažas stundas. Pagaidām tas viss šķiet diezgan normāli un ierasti.
Bet Percoco saasināja lietas vēl vairāk, apgalvojot, ka iesaistītais drošības pētnieks bija pastāstījis diviem viņu kolēģiem par šo problēmu, ļaujot viņiem paņemt uzņēmuma līdzekļus miljonu vērtībā.
Viņš sacīja, ka Krakens ir lūdzis sīkāku informāciju par to, kā tika panākta izmantošana, un centies nodrošināt līdzekļu pilnīgu atgriešanu, taču apgalvoja, ka apmaiņa tika noraidīta.
“Tā vietā viņi pieprasīja zvanu savai biznesa attīstības komandai (t.i., saviem pārdošanas pārstāvjiem) un nav piekrituši atdot nekādus līdzekļus, kamēr mēs nesniegsim spekulētu summu USD, ko šī kļūda varētu izraisīt, ja viņi to nebūtu atklājuši. Tā nav uzlaušana ar balto cepuri, tā ir izspiešana!
Niks Perkoko
Percoco turpināja apgalvot, ka pētnieki nav strādājuši kļūdu novēršanas programmas garā, jo viņi ieguva daudz vairāk, nekā vajadzēja, nesniedza koncepcijas pierādījumu un nekavējoties neatdeva naudu.
Kas tad te notika? Vai tas bija balto cepuru hakeris, kas devās uz tumšo pusi? Kāds tur Krakenu, lai saņemtu izpirkuma maksu? Krimināllieta?
Jums varētu patikt arī: Kā iegādāties monētas, pirms tās tiek iekļautas sarakstā
CertiK iet uz priekšu
Šeit stāsts uzņem neparastu pavērsienu. Jūs varētu pieņemt, ka varoņdarbu organizēja spilgts pusaudzis, kas kaut kur bija ieslēgts savā guļamistabā. Faktiski to veica CertiK — viens no lielākajiem auditoriem Web3 telpā.
Tikai trīs stundas pēc Percoco pavediena X, uzņēmums panāca savu notikumu versiju.
CertiK nesen atklāja virkni kritisku ievainojamību @krakenfx apmaiņā, kas potenciāli varētu radīt simtiem miljonu dolāru zaudējumus. Sākot no @krakenfx depozīta sistēmas konstatējuma, kurā var neizdoties atšķirt dažādus iekšējos… pic.twitter.com/ JZkMXj2ZCD
— CertiK (@CertiK) 2024. gada 19. jūnijs
Tajā teikts, ka vairākas dienas ilgušām pārbaudēm Kraken iekšējās sistēmās nav izdevies izmest nevienu sarkano karodziņu, kas nozīmē, ka biržas drošības komanda iejaucās tikai pēc tam, kad tika paziņots par kļūdu.
"Pēc sākotnējās veiksmīgās ievainojamības identificēšanas un novēršanas pārveidošanas Kraken drošības operāciju komanda ir APDRAUDĒJUSI atsevišķiem CertiK darbiniekiem NEATBILSTĪGĀ laikā atmaksāt NESASKARĪTU kriptovalūtu daudzumu, pat NEsniedzot atmaksas adreses."
CertiK
CertiK turpināja mudināt Krakenu "pārtraukt jebkādus draudus balto cepuru hakeriem".
Dienu vēlāk tam sekoja pavediens, kurā tika atbildēts uz jautājumiem par savu pētījumu.
Jautājumi un atbildes par nesenajām CertiK-Kraken whitehat operācijām: 1. Vai kāds reāls lietotājs zaudēja fondu? Nē. Kriptas tika kaltas no gaisa, un neviens īsts Kraken lietotāja īpašums nebija tieši iesaistīts mūsu pētniecības darbībās.2. Vai esam atteikušies atdot līdzekļus? Nē. Mūsu saziņā ar…
— CertiK (@CertiK) 2024. gada 20. jūnijs
Kā arī uzsvēra, ka neviens Kraken klients nezaudēja naudu, CertiK uzsvēra, ka ir “konsekventi apliecinājis” uzņēmumam, ka nauda tiks atgriezta, un tā arī notika. Vienīgais satricinājuma punkts? Domstarpības par to, cik patiesībā bija parādā apmaiņa.
Paskaidrojot, kāpēc tā izvēlējās izmantot šo trūkumu tik plašā mērogā, uzņēmums piebilda:
"Mēs vēlamies pārbaudīt Kraken aizsardzības un riska kontroles ierobežojumus. Pēc vairākām pārbaudēm vairāku dienu garumā un gandrīz trīs miljonus vērtu kriptovalūtu, neviens brīdinājums netika aktivizēts, un mēs joprojām neesam izdomājuši ierobežojumu.
CertiK
Lasot starp rindām, šķiet, ka CertiK vēlējās saņemt atbildes no Krakena par to, cik daudz īsts krāpnieks būtu varējis aiziet, ja viņš turpinātu.
Kiberdrošības uzņēmums turpināja apgalvot, ka kļūdu kompensācija bija tālu tās prioritāšu sarakstā, un visi darījumi, kas saistīti ar tās testiem, ir nonākuši publiskajā īpašumā.
Visvarens vārdu karš
Vietnē X ir bijušas diezgan lielas domstarpības par to, kuram ir taisnība un kuram nav taisnība.
Patiesajam jautājumam vajadzētu būt par to, kāpēc jūs izmantojāt neķītru daudzumu, veicot pārbaudi, pildot lomu, kurā uzticēšanās ir vissvarīgākais elements. Paņemiet L un pārtrauciet čivināt bez juridiskas konsultācijas.
— Skatiet $LSS BULL (@crypto_seeb) 2024. gada 19. jūnijā
3 miljoni dolāru ir liels daudzums, salīdzinot ar iespējamu bankrotu. Double L by Kraken padarot to par publisku problēmu, nevis tikai pateicoties Dievam, anons to neizmantoja.
— everhusk (@everhusk) 2024. gada 19. jūnijs
CertiK arguments ir saistīts ar to: tai bija jāveic astronomiski lieli izņemšanas gadījumi, lai pārbaudītu, vai Krakena iekšējās sistēmas kāds no tiem netiks atzīmēts.
Domstarpības, kas tagad šķietami ir atrisinātas, izceļ zināmu saspīlējumu starp uzņēmumiem kriptovalūtu jomā — un kiberdrošības pētniekiem, kuru uzdevums ir tos kontrolēt.
Vai ir jāpanāk lielāka vienošanās par iesaistīšanās noteikumiem? Vai kādreiz ir gadījumi, kad balto cepuru hakeru liela mēroga varoņdarbi ir attaisnojami, jo tas vēlāk varētu novērst kaut ko nelaimīgāku?
Ja tas būtu noticis ar Ronin tīklu, palīdzot novērst vienu no visu laiku lielākajiem kriptovalūtu aplaupīšanas gadījumiem, kuru rezultātā tika nozagti 625 miljoni USD, jūs droši vien apgalvotu, ka dažu miljonu dolāru pagaidu zādzība būtu pamatota.
Neatkarīgi no tā, kā uz to skatās, šis incidents ir sāpīgs atgādinājums, ka lielākajās biržās var būt kļūdas, kas vēl nav atklātas, radot risku ikdienas ieguldītājiem, kuri izmanto šīs tirdzniecības platformas savu līdzekļu glabāšanai.
Jums varētu patikt arī: vai kriptovalūtu nozare var uzticēties Trampam?