Nagroda za błąd poszła nie tak: Crypto Exchange Kraken oskarża badacza o wymuszenie
W wyniku zaskakującego obrotu wydarzeń giełda kryptowalut Kraken zostaje uwikłana w sytuację, w której raport o błędzie sporządzony przez badacza bezpieczeństwa przyjął mroczny obrót.
9 czerwca anonimowa osoba podająca się za badacza bezpieczeństwa zaalarmowała Krakena o krytycznej luce w zabezpieczeniach. Jednak sytuacja gwałtownie się pogorszyła, gdy według dyrektora ds. bezpieczeństwa firmy Kraken, Nicholasa Percoco, dwa konta powiązane z badaczem wykorzystały błąd do kradzieży zasobów cyfrowych o wartości ponad 3 milionów dolarów.
Zamiast po prostu zgłosić lukę i odebrać nagrodę za pośrednictwem ustanowionego programu nagród za błędy Krakena, badacz zażądał spotkania z zespołem sprzedaży giełdy i odmówił zwrotu skradzionych środków. Percoco w poście z 19 czerwca stanowczo potępił te działania, stwierdzając: „To nie jest hakowanie white-hat, to wymuszenie!”
Kraken podkreśla, że żadne środki użytkowników nie zostały naruszone w tym incydencie. Skradziona kryptowaluta pochodziła bezpośrednio ze skarbca giełdy. Zdeterminowany, aby odzyskać skradzione środki i pociągnąć sprawców do odpowiedzialności, Kraken pilnie współpracuje z organami ścigania.
Podczas gdy jedno z trzech kont Kraken użytych w exploicie przeszło weryfikację Know Your Customer (KYC), prawdziwa tożsamość osoby pozostaje nieznana. Pierwszy kontakt wykazał wadę za pomocą małego przelewu w wysokości 4 USD, co stanowiło wystarczający dowód, aby zakwalifikować się do znacznej nagrody w ramach programu nagród za błędy Kraken. Jednak późniejsze zaangażowanie dwóch innych kont i kradzież znacznie większej kwoty rodzą poważne pytania o prawdziwe intencje badacza.
Pomimo tego negatywnego doświadczenia Kraken pozostaje oddany swojemu programowi bug bounty, który jest kamieniem węgielnym ich strategii bezpieczeństwa. Jak podkreśla Percoco: „W istocie przejrzystości ujawniamy ten błąd branży już dziś”. Wyraża ponadto niedowierzanie wobec oskarżeń o brak profesjonalizmu za dążenie do zwrotu skradzionych funduszy.
Obawy dotyczące bezpieczeństwa kryptowalut: zmieniający się krajobraz
Ten incydent uwypukla ewoluujący krajobraz zagrożeń bezpieczeństwa kryptowalut. Podczas gdy luki w zabezpieczeniach inteligentnych kontraktów były głównym zmartwieniem w 2022 r., raport Merkle Science „2024 Crypto HackHub Report” wskazuje na niepokojący trend. Hakerzy i exploiterzy kryptowalut wydają się odnosić sukcesy w 2024 r., a skradzione aktywa cyfrowe w pierwszym kwartale przekroczyły już te z tego samego okresu w 2023 r. o znaczące 42%. Co godne uwagi, wycieki kluczy prywatnych stały się główną przyczyną tych ataków, przewyższając luki w zabezpieczeniach inteligentnych kontraktów.