W tym artykule opowiadamy o niesamowitej historii: kilka dni temu firma audytorska Certik zidentyfikowała lukę w systemach bezpieczeństwa giełdy kryptowalut Kraken, która mogła doprowadzić do poważnego włamania.

Po 3 dniach testów i przeprowadzeniu ataku „white hack” o wartości 3 milionów dolarów Certik skontaktował się z Krakenem, aby poinformować go o błędzie, ale początkowo odmówił natychmiastowego zwrotu skradzionej kwoty.

Wymiana kryptowalut natychmiast skontaktowała się z organami ścigania, traktując sytuację jako sprawę karną, podczas gdy firma zajmująca się bezpieczeństwem kryptograficznym upiera się, że jest to typowy test „programu nagród”. Teraz wygląda na to, że środki zostały zwrócone.

Zobaczmy wszystko szczegółowo poniżej.

Włamanie na 3 miliony dolarów przeciwko giełdzie kryptowalut Kraken: Certik jest odpowiedzialny, ale odmawia zwrotu pieniędzy

Ta historia zaczyna się 9 czerwca 2024 r., kiedy giełda kryptowalut Kraken otrzymuje nieformalną wiadomość od „badacza bezpieczeństwa”, który twierdzi, że odkrył lukę w zabezpieczeniach platformy, która mogła spowodować włamanie na dużą skalę.

Jak poinformował w pośmiertnym tweecie Nick Percoco, dyrektor ds. bezpieczeństwa Krakena, badacz podkreślił wadę w systemach bezpieczeństwa depozytów (niezdolność do rozróżnienia różnych stanów transferu wewnętrznego), co pozwala użytkownikom na zawyżanie salda i wypłacić więcej monet, niż faktycznie jest dostępnych. Giełda natychmiast podjęła działania mające na celu rozwiązanie problemu i w ciągu zaledwie 47 minut zespołowi ekspertów udało się naprawić błąd.

Oto raport Percoco:

„błąd umożliwił złośliwemu atakującemu, w odpowiednich okolicznościach, zainicjowanie depozytu na naszej platformie i otrzymanie środków na swoje konto bez pełnego zrealizowania depozytu. Żeby było jasne, aktywa żadnego klienta nigdy nie były zagrożone.”

Aktualizacja zabezpieczeń Krakena:

9 czerwca 2024 r. otrzymaliśmy alert w ramach programu Bug Bounty od badacza bezpieczeństwa. Początkowo nie ujawniono żadnych szczegółów, ale ich e-mail zawierał informację o znalezieniu „niezwykle krytycznego” błędu, który pozwolił im sztucznie zawyżać saldo na naszej platformie.

— Nick Percoco (@c7five) 19 czerwca 2024 r

Na razie wszystko jest w porządku, poza tym, że ta sama firma zajmująca się bezpieczeństwem web3, w której pracuje badacz, który skontaktował się z Krakenem, przed oficjalnym zgłoszeniem błędu, przeprowadziłby kilka włamań na platformę za łączną kwotę 3 milionów dolarów.

Natychmiast po opublikowaniu wpisu Percoco odpowiedzialność za incydent wzięła na siebie znana firma audytorska Certik i ujawniła swoją kluczową rolę w tej sprawie.

Certik rzekomo „przetestował” mechanizmy obronne Krakena, przeprowadzając atak na dużą skalę i wycofując duże ilości tokenów MATIC z 3 różnych kont, a następnie czyszcząc ślady środków za pomocą miksera Tornado Cash.

 Jak wyjaśnił menadżer ds. bezpieczeństwa giełdy, po naprawieniu problemu Kraken poprosił Certika o zwrot środków, na co ta początkowo odmówiła.

Mimo to Certik upiera się, że jego działalność jest zgodna z zasadami „białego hackowania”.

Najwyraźniej Certik nie wspomniał o roli osoby wykorzystującej 3 konta w tym incydencie, mimo że przeprowadził testy wycofania w ciągu 3 dni przed komunikacją z Krakenem.

Badacz bezpieczeństwa, który zauważył błąd, zażądałby znacznej nagrody za zidentyfikowanie poważnej wady, która mogła zaowocować poważnym włamaniem, ale Kraken nalegał na odzyskanie środków.

Ponieważ firma audytorska odmówiła zwrotu łupu i wydawało się, że rzeczywiście podjęła działania, aby ukryć dowody włamania, giełda zdecydowała się potraktować sytuację tak, jakby była sprawą karną, powiadamiając właściwe władze i organy ścigania.

Firma zajmująca się bezpieczeństwem web3 poprosiła giełdę o nagrodę w wysokości równej spekulowanej kwocie, jaką mógł spowodować ten błąd, gdyby nie został ujawniony, co doprowadziło do wściekłości zespołu platformy wymiany.

Percoco skomentował to, co się wydarzyło na swoim profilu X, pokazując cały swój sprzeciw wobec zachowania Certika:

„To nie jest hacking dla białych, to jest wymuszenie”.

Nie ujawnimy tej firmy badawczej, ponieważ nie zasługuje ona na uznanie za swoje działania. Traktujemy tę sprawę jako sprawę karną i współpracujemy z organami ścigania. Jesteśmy wdzięczni, że zgłoszono ten problem, ale na tym się kończy.

— Nick Percoco (@c7five) 19 czerwca 2024 r

Odmowa ze strony Certika: zwrot środków pomimo groźby niektórych pracowników ze strony zespołu Krakena

Certik, po przedstawieniu się jako firma odpowiedzialna za identyfikację usterek w systemach depozytowych, natychmiast zaprzeczył doniesieniom Krakena, podkreślając jego rolę „białego hacka” i pozytywne intencje.

Firma ujawniła, że ​​zorganizowała zakrojony na szeroką skalę włamanie na kwotę 3 mln dolarów wyłącznie w celu przetestowania zabezpieczeń giełdy, ale podkreśliła też, że nigdy nie odmówiła zwrotu łupu, a raczej chciała mieć pewność, że wszystko zostało wykonane poprawnie.

Certik stwierdziła, że ​​była zdumiona potencjalnym negatywnym wpływem, jaki mógł spowodować błąd, ale przede wszystkim faktem, że alarmy Krakena nigdy nie zostały uruchomione. Zostało to stwierdzone w poście: 

„Miliony dolarów można wpłacić na KAŻDE konto Kraken. Z konta można wypłacić ogromną ilość kryptowalut (o wartości ponad 1 mln USD) i zamienić je na ważne kryptowaluty. Co gorsza, podczas wielodniowego okresu testowego nie uruchomił się żaden alert”.

Ponadto firma audytorska wyjaśniła, że ​​członek zespołu ds. wymiany zagroził swojemu badaczowi zwróceniem kwoty w nieuzasadnionym terminie (6 godzin), nie podając jednak adresu zwrotu.

Miało to miejsce po tym, jak kilka dni po włamaniu obie firmy zadzwoniły, aby spróbować znaleźć rozwiązanie i rozwiązać sprawę.

CertiK zidentyfikował niedawno szereg krytycznych luk w zabezpieczeniach giełdy @krakenfx, które mogą potencjalnie prowadzić do strat rzędu setek milionów dolarów.

Zaczynając od ustalenia w systemie depozytów @krakenfx, gdzie może nie rozróżnić różnych wewnętrznych… pic.twitter.com/JZkMXj2ZCD

— CertiK (@CertiK) 19 czerwca 2024 r

Najwyraźniej tym, co wywołało chaos, była wysokość nagrody zaproponowanej przez Krakena, która została uznana za nieadekwatną do włożonego wysiłku i zapobiegnięcia potencjalnemu exploitowi. Jak doniósł rzecznik Krakena dla Coindesk:

„Zaangażowaliśmy tych badaczy w dobrej wierze i zgodnie z dziesięcioletnim zarządzaniem programem nagród za błędy, zaoferowaliśmy znaczną nagrodę za ich wysiłki. Jesteśmy rozczarowani tym doświadczeniem i obecnie współpracujemy z organami ścigania, aby odzyskać majątek od badaczy bezpieczeństwa”.

Dzisiaj Certik opublikował kolejny post z kilkoma często zadawanymi pytaniami, aby dokładniej wyjaśnić swoje stanowisko i rozwiać wszelkie wątpliwości.

Firma ochroniarska powtarza, że ​​„konsekwentnie” potwierdza, że ​​zwróci skradzioną kwotę i twierdzi, że teraz wszystkie środki wróciły do ​​rąk Krakena.

Środki te zostały odesłane do nadawcy w walutach 734.19215 ETH, 29.001 USDT i 1021.1 XMR, podczas gdy giełda wyraźnie zażądała przesłania 155818.4468 MATIC, 907400.1803 USDT, 475.5557871 ETH i 1089.794737 XMR, za łączną równowartość większą o około 100 000 dolarów .

Pytania i odpowiedzi dotyczące ostatnich operacji Whitehat CertiK-Kraken:

1. Czy jakikolwiek prawdziwy użytkownik stracił środki?
Nie. Kryptosy zostały wydobyte z powietrza i żadne aktywa prawdziwego użytkownika Krakena nie były bezpośrednio zaangażowane w nasze działania badawcze.

2. Czy odmówiliśmy zwrotu środków?
Nie. W naszej komunikacji z…

— CertiK (@CertiK) 20 czerwca 2024 r

Kraken pozostaje niezmienny przy swojej koncepcji etycznej „białego hakowania” i utrzymuje, że zastraszanie stosowane przez Certik można określić jako wymuszenie.

Program Bounty giełdy rzeczywiście wymaga, aby strony trzecie znalazły problem, wykorzystały minimalną kwotę niezbędną do przetestowania błędu (bez przeprowadzania hackowania wartego 3 miliony dolarów), zwróciły zasoby i podały szczegółowe informacje na temat luki.