Kraken odzyskuje 3 miliony dolarów brakujących środków po exploitie Bug Bounty

Kraken odzyskuje 3 miliony dolarów brakujących środków po exploitie Bug Bounty

Giełda kryptowalut Kraken pomyślnie odzyskała prawie 3 miliony dolarów z aktywów cyfrowych w wyniku głośnego exploita typu bug bounty przeprowadzonego przez CertiK. Nicholas Percoco, dyrektor ds. bezpieczeństwa firmy Kraken, potwierdził odzyskanie środków w poście z 20 czerwca na portalu X, stwierdzając: „Aktualizacja: możemy teraz potwierdzić, że środki zostały zwrócone (minus niewielka kwota utracona z tytułu opłat)”. Ogłoszenie to nastąpiło po tym, jak 19 czerwca firma Percoco początkowo ujawniła zniknięcie funduszy, przypisując incydent „badaczowi ds. bezpieczeństwa”, który wykorzystał błąd.

Kraken zarzucił, że badacz bezpieczeństwa wyłudził wymianę, odmawiając zwrotu środków bez nagrody. Firma zajmująca się bezpieczeństwem Blockchain, CertiK, szybko przedstawiła się jako „badacz bezpieczeństwa” zaangażowany w incydent. W poście X z 19 czerwca CertiK szczegółowo opisał, że poinformował Krakena o exploitie, który umożliwił wypłatę milionów z kont giełdy. CertiK twierdził ponadto, że Kraken zagroził swoim pracownikom spłatą niedopasowanej ilości kryptowalut w nieuzasadnionych ramach czasowych, bez podania adresów spłaty.

Saga wzbudziła pytania o konieczność wycofania prawie 3 milionów dolarów. Percoco początkowo zauważył, że zaledwie przelew w wysokości 4 dolarów wystarczyłby, aby udowodnić błąd i zakwalifikować się do sporej nagrody w programie nagród Krakena. CertiK bronił jednak swoich działań, tłumacząc, że duża suma była częścią próby sprawdzenia granic zabezpieczeń i kontroli ryzyka Krakena. „Chcemy przetestować limity ochrony i kontroli ryzyka Krakena. Po wielu dniach testów i kryptowalutach o wartości prawie 3 milionów dolarów nie uruchomiły się żadne alerty i nadal nie ustaliliśmy limitu” – stwierdził CertiK.

CertiK wyjaśnił również, że początkowo nie żądał nagrody; zamiast tego Kraken jako pierwszy wspomniał o nagrodzie. „Nigdy nie wspominaliśmy o żadnej prośbie o nagrodę. To Kraken jako pierwszy wspomniał nam o swojej nagrodzie, a my odpowiedzieliśmy, że nagroda nie jest tematem priorytetowym i chcemy się upewnić, że problem został rozwiązany” – wyjaśnia CertiK. Dodali, że żadne środki użytkowników Krakena nie były zagrożone, ponieważ wykorzystane fundusze zostały „wybite z powietrza”.