Firma zajmująca się bezpieczeństwem kryptowalut CertiK i Kraken w sporze o nagrodę za błąd w związku z drenażem 3 mln dolarów

Szybkie ujęcie:

• Dyrektor ds. bezpieczeństwa Krakena, Nick Percoco, powiedział w środę, że z jego portfeli zabrano 3 miliony dolarów.

• Błąd umożliwiał każdemu zainicjowanie wpłaty na platformę i otrzymanie środków bez jej uzupełniania.

• Percoco powiedział, że trzy osoby powiązane z nieujawnioną firmą odmówiły zwrotu środków do czasu, aż Kraken upubliczni potencjalną skalę exploita.

CertiK i firma zajmująca się giełdą kryptowalut Kraken od kilku dni toczą spór dotyczący nagrody za błąd, zgodnie z materiałami informacyjnymi ujawnionymi przez firmę zajmującą się bezpieczeństwem blockchain na X. 

CertiK poinformował 5 czerwca, że ​​znalazł lukę w systemie depozytowym Krakena, która umożliwiała wypłaty sfabrykowanych kryptowalut, które można było zamienić na ważne kryptowaluty.

Firma zajmująca się bezpieczeństwem kryptowalut zdeponowała 200 Matic 5 czerwca, a dwa dni później wypłaciła 90 000 Matic. Następnie dokonała znacznie większej wpłaty, a następnie 9 czerwca wypłaciła jeszcze większą kwotę, jak twierdziła firma w poście na X.

Źródło: Certik na X

Komentując wynik testu na X, CertiK napisał: „Giełda Kraken nie przeszła wszystkich tych testów, co wskazuje, że dogłębny system obronny Krakena jest zagrożony na wielu frontach. Miliony dolarów można wpłacić na KAŻDE konto Kraken.”

„Ogromna ilość sfabrykowanych kryptowalut (o wartości ponad 1 mln USD) może zostać wypłacona z konta i zamieniona na ważne kryptowaluty. Co gorsza, podczas wielodniowego okresu testowego nie zostały uruchomione żadne alerty. Kraken odpowiedział i zablokował konta testowe dopiero kilka dni po tym, jak oficjalnie zgłosiliśmy incydent.

W swojej odpowiedzi dyrektor ds. bezpieczeństwa Krakena, Nick Percoco, powiedział, że jego firmie udało się „segregować błąd” w ciągu godziny i 47 minut, a następnie całkowicie naprawić problem w ciągu kilku godzin.

Opisując okoliczności wystąpienia błędu, powiedział: „Nasz zespół znalazł lukę wynikającą z niedawnej zmiany UX, która powodowała natychmiastowe zasilenie kont klientów przed wyczyszczeniem ich aktywów – umożliwiając klientom skuteczny handel na rynkach kryptowalut w czasie rzeczywistym. Ta zmiana UX nie została dokładnie przetestowana pod kątem tego konkretnego wektora ataku”.

Percoco powiedział, że dalsze dochodzenie wykazało, że trzy konta w pełni wykorzystały błąd, aby zasilić swoje konta kwotą 4 dolarów w kryptografii, co wystarczyłoby do złożenia raportu o nagrodzie za błąd w zespole Krakena, zdobywając pokaźną nagrodę od giełdy kryptowalut program nagród za błędy.

Zamiast tego „badacz bezpieczeństwa” ujawnił ten błąd dwóm innym osobom, z którymi współpracuje, a które w nieuczciwy sposób wygenerowały znacznie większe sumy. Ostatecznie wycofali prawie 3 miliony dolarów ze swoich kont Kraken. Pochodziło to ze skarbca Krakena, a nie z aktywów innych klientów.

Po dyskusjach na temat sporządzenia raportu w celu zwrotu środków badacze odmówili, powiedział Percoco, określając wydarzenie jako „wymuszenie”.

CertiK stwierdził, że po początkowych udanych konwersjach związanych z identyfikacją i naprawieniem luki zespół operacyjny Kraken ds. bezpieczeństwa zagroził poszczególnym pracownikom CertiK, że spłacią niedopasowane kwoty kryptowalut bez podania im rozsądnego czasu lub adresów spłaty.

Bądź na bieżąco:

Zapisz się do naszego newslettera, korzystając z tego linku – nie będziemy spamować!

Śledź nas na X i Telegramie.

Wpis Crypto Security Firm CertiK i Kraken w sporze o nagrodę za błąd w związku z drenażem o wartości 3 milionów dolarów pojawił się jako pierwszy na NFTgators.