TLDR
Kraken odkrył błąd, który pozwalał użytkownikom sztucznie zawyżać saldo i wypłacać środki bez dokonywania depozytów.
CertiK, firma zajmująca się bezpieczeństwem blockchain, przedstawiła się jako „badacz bezpieczeństwa”, który wykorzystał błąd i wypłacił ze skarbców Krakena prawie 3 miliony dolarów.
Kraken twierdzi, że CertiK odmówił zwrotu środków do czasu, aż giełda oszacowała potencjalne straty, nazywając to „wyłudzeniem”.
CertiK bronił się przed swoimi działaniami, twierdząc, że testuje zakres luki i że Kraken groził swoim pracownikom zwróceniem niezgodnej kwoty środków w nieuzasadnionym terminie.
Incydent wywołał debatę na temat etyki hackowania w białych kapeluszach i programów nagród za błędy w branży kryptowalut.
Giełda kryptowalut Kraken ujawniła niedawno, że padła ofiarą luki w zabezpieczeniach, która umożliwiała użytkownikom sztuczne zawyżanie salda konta i wypłacanie środków bez pełnego uzupełnienia depozytu. Giełda podała, że w wyniku exploita skradziono z jej skarbców prawie 3 miliony dolarów.
Zgłosiła się firma zajmująca się bezpieczeństwem Blockchain, CertiK, przedstawiając się jako „badacz bezpieczeństwa” odpowiedzialny za wykorzystanie błędu i wycofanie środków.
Dyrektor ds. bezpieczeństwa Krakena, Nick Percoco, oskarżył wcześniej anonimowy zespół ds. bezpieczeństwa o „wymuszenie” za odmowę zwrotu środków do czasu przedstawienia przez giełdę szacunkowych potencjalnych strat, gdyby błąd pozostał nieujawniony.
Aktualizacja zabezpieczeń Krakena:
9 czerwca 2024 r. otrzymaliśmy alert w ramach programu Bug Bounty od badacza bezpieczeństwa. Początkowo nie ujawniono żadnych szczegółów, ale ich e-mail zawierał informację o znalezieniu „niezwykle krytycznego” błędu, który pozwolił im sztucznie zawyżać saldo na naszej platformie.
— Nick Percoco (@c7five) 19 czerwca 2024 r
CertiK bronił się jednak przed swoimi działaniami, twierdząc, że testował zakres luki i że Kraken groził swoim pracownikom zwróceniem niezgodnej kwoty środków w nieuzasadnionym terminie, nie podając nawet adresu spłaty.
CertiK zidentyfikował niedawno szereg krytycznych luk w zabezpieczeniach giełdy @krakenfx, które mogą potencjalnie prowadzić do strat rzędu setek milionów dolarów.
Zaczynając od ustalenia w systemie depozytów @krakenfx, gdzie może nie rozróżnić różnych wewnętrznych… pic.twitter.com/JZkMXj2ZCD
— CertiK (@CertiK) 19 czerwca 2024 r
Firma ochroniarska przedstawiła harmonogram wydarzeń, szczegółowo opisując swoje interakcje z Krakenem i odkrycie exploita.
Według CertiK luka umożliwiła zdeponowanie milionów dolarów na dowolnym koncie Kraken, z możliwością wypłaty i zamiany sfabrykowanego krypto na ważne kryptowaluty.
Firma twierdziła również, że podczas wielodniowego okresu testowego nie uruchomiono żadnych alertów, a Kraken odpowiedział i zablokował konta testowe dopiero kilka dni po pierwotnym ujawnieniu.
Incydent wywołał debatę na temat etyki hakowania w białych kapeluszach i skuteczności programów nagród za błędy.
Niektórzy twierdzą, że działania CertiK były uzasadnione w interesie dokładnego przetestowania podatności, inni uważają, że firma przekroczyła granicę, wycofując tak dużą sumę pieniędzy i odmawiając jej szybkiego zwrotu.
Kraken utrzymuje, że działania CertiK nie są zgodne z zasadami włamań typu „biały kapelusz” i że współpracuje z organami ścigania w celu odzyskania aktywów. Giełda podkreśliła również, że exploit nie miał wpływu na żadne fundusze użytkowników, ponieważ skradzione pieniądze pochodziły z własnych skarbców Krakena.
Wpis Bug Bounty Gone Wrong: Kraken oskarża CertiK o wymuszenie, CertiK broni swoich działań pojawił się jako pierwszy na Blockonomi.