Giełda kryptowalut Kraken twierdzi, że odzyskała pieniądze od „badaczy bezpieczeństwa”, którzy w tym roku pobrali z platformy 3 miliony dolarów.

„Aktualizacja: możemy teraz potwierdzić, że środki zostały zwrócone (minus niewielka kwota utracona z tytułu opłat)” – napisał w czwartek na Twitterze Nick Percoco, dyrektor ds. bezpieczeństwa Kraken.

Kraken odzyskuje pieniądze

Chociaż Kraken początkowo odmówił zidentyfikowania sprawców, eksperci ds. bezpieczeństwa blockchain w CertiK ujawnili się w środę jako sprawcy włamania.

Wcześniej tego dnia Percoco ujawniło, że Kraken niedawno załatał błąd, który pozwalał zaawansowanym technicznie osobom sztucznie zawyżać saldo na platformie, skutecznie umożliwiając im kradzież dowolnej kwoty pieniędzy z giełdy od stycznia.

Eksperci CertiK powiadomili ich o luce w czerwcu, ale dopiero wtedy w ramach demonstracji wysłali 3 miliony dolarów ze skarbca Krakena. „W ciągu kilku godzin problem został całkowicie rozwiązany i nie mógł się ponownie pojawić” – wyjaśnił Percoco, zauważając, że „aktywa żadnego klienta nie były nigdy zagrożone”.

Chociaż CertiK scharakteryzował swoje działania jako operację „białego kapelusza”, mającą na celu wzmocnienie bezpieczeństwa Krakena, sposób, w jaki firma podchodziła do swoich działań, nie odpowiadał Krakenowi ani szerszej społeczności kryptograficznej.

Należą do nich nieprzestrzeganie standardowych procedur programu nagród Whitehat firmy Kraken, takich jak niezwłoczny zwrot wszystkich środków po kradzieży i prawdopodobnie kradzież znacznie większej ilości pieniędzy, niż jest to konieczne do wykazania luki.

Według Krakena firma CertiK, poproszona o zwrot środków, wyraźnie odmówiła, dopóki nie otrzyma szacunkowej kwoty pieniędzy zagrożonych, gdyby firma nie zidentyfikowała luki w zabezpieczeniach.

Wyjaśnienie CertiK dotyczące włamania

Natomiast CertiK stwierdził, że „konsekwentnie zapewniał ich, że zwrócimy środki”.

„Zespół ds. bezpieczeństwa Kraken zagroził poszczególnym pracownikom CertiK, że spłacą niedopasowaną ilość kryptowalut w nieuzasadnionym czasie, nawet bez podania adresów spłaty” – zaprotestował CertiK na Twitterze.

Firma potwierdziła w czwartek, że wszystkie środki zostały zwrócone, choć w innej kwocie kryptograficznej niż nakazał Kraken. Uzasadnił także rozmiar swojego ataku niezbędnym do przetestowania limitu alertów Krakena i kontroli ryzyka – które i tak nigdy nie zostały przeprowadzone po stracie milionów.

„Nigdy nie wspominaliśmy o prośbie o nagrodę” – dodał CertiK. „To Kraken jako pierwszy wspomniał nam o swojej nagrodzie, a my odpowiedzieliśmy, że nagroda nie jest tematem priorytetowym i chcieliśmy się upewnić, że problem został rozwiązany.”

Post Kraken potwierdza zwrot środków z kontrowersyjnego hacka „Whitehat” firmy CertiK pojawił się jako pierwszy na CryptoPotato.