Społeczność kryptograficzna ostro skrytykowała firmę CertiK zajmującą się bezpieczeństwem blockchain za problemy z giełdą kryptowalut Kraken. 19 czerwca firma ujawniła się jako firma zajmująca się „badaniami bezpieczeństwa”, której Kraken przypisał kradzież zasobów cyfrowych o wartości 3 milionów dolarów.
Przeczytaj także: Kraken ujawnia błąd, który pozwolił nieuczciwym „badaczom bezpieczeństwa” wykorzystać 3 miliony dolarów
Główny specjalista ds. bezpieczeństwa Krakena, Nick Percoco, ujawnił, że anonimowy „badacz bezpieczeństwa” wykorzystał błąd na giełdzie kryptowalut, aby ukraść miliony aktywów cyfrowych. Percoco kontynuował, że badacz odmówił zwrotu skradzionych środków i zamiast tego zdecydował się wymusić wymianę na kwotę spekulacyjną.
Kraken odzyskuje skradzione środki
Kilka godzin po ujawnieniu informacji przez Krakena CertiK oświadczył, że poinformował Krakena o exploitie, który pozwolił mu wypłacić środki z kont giełdy. Firma ochroniarska opublikowała harmonogram wydarzeń i stwierdziła, że Kraken groził swoim pracownikom. Stwierdzono:
„Po początkowych udanych rozmowach na temat identyfikacji i naprawienia luki zespół operacyjny Kraken ds. bezpieczeństwa ZAGROŻAŁ poszczególnym pracownikom CertiK spłatą NIEDOSTOSOWANEJ ilości kryptowalut w NIEROZSĄDNYM czasie, nawet BEZ podania adresów do spłaty”.
Kalendarium problemów CertiK z Krakenem. (Źródło: CertiK)
Niemniej jednak CertiK ujawnił, że przeleje „skradzione” środki na konto, do którego Kraken ma dostęp. Do 20 czerwca Percoco potwierdziło, że Kraken otrzymał wszystkie środki, pomniejszone o opłaty transakcyjne.
Działania CertiK spotykają się z krytyką
Podczas gdy Kraken świętowałby naprawienie krytycznego błędu i odzyskanie środków, CertiK spotyka się teraz z falą krytyki ze strony społeczności kryptograficznej za jego rolę w tych wydarzeniach. Taylor Monahan, ekspert ds. bezpieczeństwa kryptowalut, zapytał, dlaczego firma zajmująca się bezpieczeństwem blockchain przeprowadziła więcej niż jedną transakcję testową, aby udowodnić istnienie luki.
Przeczytaj także: Kraken rozważa wycofanie USDT z giełdy w odpowiedzi na nowe przepisy UE
Co więcej, społeczność kwestionowała motywy CertiK polegające na przenoszeniu części funduszy Krakena przez objęty sankcjami OFAC mikser kryptowalut Tornado Cash i korzystaniu przez niego z ChangeNOW, giełdy kryptowalut bez depozytu z luźnymi procesami „znaj swoich klientów”.
CertiK upiera się jednak, że podjął słuszną decyzję. Firma zauważyła, że test trwał pięć dni i był na tak zakrojoną na szeroką skalę, ponieważ próbowała odkryć, jak słaby jest system bezpieczeństwa Krakena. Stwierdzono:
„Prawdziwe pytanie powinno brzmieć, dlaczego dogłębny system obrony Krakena nie wykrył tak wielu transakcji testowych. Rzeczywiście to testowaliśmy. Często słyszałeś o słabej reakcji giełdy na wykrycie błędu bezpieczeństwa, przechwalającej się jej silną kontrolą ryzyka i dogłębnym systemem obrony (który, ich zdaniem, zapobiegnie jakimkolwiek znaczącym stratom). CertiK przetestował to z Krakenem i poniósł porażkę.”
Zaprzeczyła również, aby kiedykolwiek prosiła o nagrodę i twierdziła, że konsekwentnie zapewniała Krakena o swoim planie zwrotu środków.
Kryptopolityczne raporty Oluwapelumi Adejumo