Kraken twierdzi, że CertiK był nadmierny, ale firma zajmująca się cyberbezpieczeństwem upiera się, że aby ustalić skalę problemu, konieczne były wycofania środków na dużą skalę.
W zeszłym tygodniu Kraken ogłosił, że krytyczny błąd umożliwił badaczom bezpieczeństwa sztuczne zawyżenie salda i wypłacenie prawie 3 milionów dolarów.
Aktualizacja zabezpieczeń Kraken: 9 czerwca 2024 r. otrzymaliśmy alert w ramach programu Bug Bounty od badacza bezpieczeństwa. Początkowo nie ujawniono żadnych szczegółów, ale ich e-mail zawierał informację o znalezieniu „niezwykle krytycznego” błędu, który pozwolił im sztucznie zawyżać saldo na naszej platformie.
— Nick Percoco (@c7five) 19 czerwca 2024 r
Jednak w całym tym incydencie było coś niezwykle niezwykłego, co zakończyło się wojną na słowa między giełdą kryptowalut a dużą firmą zajmującą się bezpieczeństwem cybernetycznym.
Główny specjalista ds. bezpieczeństwa Krakena, Nick Percoco, rozpoczął sprawę od ogłoszenia, że wykryto lukę, która umożliwiła złośliwym podmiotom wydrukowanie środków na koncie.
Łagodzenie problemu zajęło 47 minut, a jego całkowite naprawienie zajęło kilka godzin. Na razie wszystko to wydaje się całkiem normalne i rutynowe.
Jednak Percoco zaostrzyło sprawę, twierdząc, że zaangażowany w sprawę badacz bezpieczeństwa powiedział o problemie dwóm swoim kolegom, co umożliwiło im przejęcie wielomilionowych funduszy firmy.
Powiedział, że Kraken poprosił o szczegółowe informacje na temat sposobu wykorzystania exploita i próbował zorganizować pełny zwrot środków, ale zarzucił, że wymiana została odrzucona.
„Zamiast tego zażądali rozmowy telefonicznej ze swoim zespołem ds. rozwoju biznesu (tj. przedstawicielami handlowymi) i nie zgodzili się na zwrot jakichkolwiek środków, dopóki nie podamy spekulacyjnej kwoty w dolarach, którą mógł spowodować ten błąd, gdyby go nie ujawnili. To nie jest włamanie do białych kapeluszy, to jest wymuszenie!”
Nicka Percoco
Percoco stwierdził następnie, że badacze nie działali zgodnie z duchem programu nagród za błędy, ponieważ wydobyli znacznie więcej, niż było to konieczne, nie przedstawili dowodu słuszności koncepcji i nie zwrócili natychmiast pieniędzy.
Więc co tu się działo? Czy to haker w białym kapeluszu przedostał się na ciemną stronę? Ktoś przetrzymuje Krakena dla okupu? Sprawa karna?
Może Cię również zainteresować: Jak kupić monety, zanim zostaną wystawione na sprzedaż
CertiK robi krok do przodu
W tym miejscu historia przybiera nietypowy obrót. Można by założyć, że exploit został zaaranżowany przez bystrego nastolatka zamkniętego gdzieś w swojej sypialni. W rzeczywistości przeprowadził go CertiK — jeden z największych audytorów w przestrzeni Web3.
Zaledwie trzy godziny po wątku Percoco na X firma przedstawiła własną wersję wydarzeń.
CertiK niedawno zidentyfikował szereg krytycznych luk w zabezpieczeniach giełdy @krakenfx, które mogą potencjalnie prowadzić do strat rzędu setek milionów dolarów. Zaczynając od ustalenia w systemie depozytowym @krakenfx, który może nie rozróżniać różnych wewnętrznych… pic.twitter.com/ JZkMXj2ZCD
— CertiK (@CertiK) 19 czerwca 2024 r
Stwierdzono, że wiele dni testów nie powodowało żadnych sygnałów ostrzegawczych w wewnętrznych systemach Krakena, co oznacza, że zespół ds. bezpieczeństwa giełdy interweniował dopiero po otrzymaniu informacji o luce.
„Po początkowych udanych konwersjach związanych z identyfikacją i naprawieniem luki zespół operacyjny Kraken ds. bezpieczeństwa ZAGROŻAŁ poszczególnym pracownikom CertiK spłatą NIEDOSTOSOWANEJ ilości kryptowalut w NIEROZSĄDNYM czasie, nawet BEZ podania adresów do spłaty”.
CertiK
CertiK nalegał następnie, aby Kraken „zaprzestał wszelkich gróźb wobec hakerów w białych kapeluszach”.
Dzień później założono wątek zawierający odpowiedzi na pytania dotyczące przeprowadzonych badań.
Pytania i odpowiedzi dotyczące ostatnich operacji Whitehat CertiK-Kraken: 1. Czy jakikolwiek prawdziwy użytkownik stracił środki? Nie. Kryptowaluty zostały wydobyte z powietrza, a w nasze działania badawcze nie były bezpośrednio zaangażowane żadne aktywa prawdziwego użytkownika Krakena.2. Czy odmówiliśmy zwrotu środków? Nie. W naszej komunikacji z…
— CertiK (@CertiK) 20 czerwca 2024 r
Oprócz podkreślenia, że żaden z klientów Krakena nie poniósł strat, CertiK podkreślił, że „konsekwentnie zapewniał” firmę, że pieniądze zostaną zwrócone, i tak się stało. Jedyny punkt sporny? Brak zgody co do kwoty faktycznie należnej za wymianę.
Wyjaśniając, dlaczego zdecydowała się wykorzystać lukę na tak dużą skalę, firma dodała:
„Chcemy przetestować granice ochrony i kontroli ryzyka Krakena. Po wielu testach prowadzonych przez wiele dni i kryptowalutach o wartości prawie trzech milionów, nie uruchomiły się żadne alerty i nadal nie ustaliliśmy limitu.”
CertiK
Czytanie między wierszami i wygląda na to, że CertiK chciał uzyskać od Krakena odpowiedzi na pytanie, ile prawdziwy oszust mógł uniknąć, gdyby dalej działał.
Firma zajmująca się cyberbezpieczeństwem argumentowała dalej, że nagroda za błędy znajduje się daleko na liście jej priorytetów, a wszystkie transakcje związane z jej testami weszły do domeny publicznej.
Wszechpotężna wojna na słowa
W przypadku X doszło do sporej różnicy zdań co do tego, kto ma rację, a kto nie.
Prawdziwe pytanie powinno brzmieć: dlaczego wykorzystałeś nieprzyzwoite kwoty w ramach testów w roli, w której zaufanie jest najważniejszym elementem. Weź L i przestań tweetować bez porady prawnej.
— Zobacz $LSS BULL (@crypto_seeb) 19 czerwca 2024 r
3 miliony dolarów to grosze w porównaniu ze skalą potencjalnego włamania do upadłości. Double L autorstwa Krakena czyni z tego kwestię publiczną, zamiast po prostu dziękować Bogu, że anony tego nie wykorzystały.
— everhusk (@everhusk) 19 czerwca 2024 r
Argument CertiK sprowadza się do tego: musiał dokonać astronomicznie dużych wypłat, aby sprawdzić, czy którakolwiek z nich zostanie oznaczona przez wewnętrzne systemy Krakena.
Spór, który obecnie wydaje się pozornie zażegnany, uwypukla pewne napięcia między firmami w przestrzeni kryptograficznej a badaczami cyberbezpieczeństwa, których zadaniem jest kontrolowanie ich.
Czy potrzebne jest większe porozumienie w sprawie zasad zaangażowania? Czy kiedykolwiek zdarzają się przypadki, w których exploity na dużą skalę dokonywane przez hakerów w białych kapeluszach są uzasadnione, ponieważ mogą zapobiec późniejszemu wydarzeniu się czegoś bardziej katastrofalnego?
Gdyby coś takiego przydarzyło się Ronin Network – pomagając zapobiec jednemu z największych napadów na kryptowaluty wszechczasów, który doprowadził do kradzieży 625 milionów dolarów – prawdopodobnie argumentowałbyś, że tymczasowa kradzież kilku milionów dolarów byłaby uzasadniona.
Bez względu na to, jak na to spojrzeć, ten incydent jest bolesnym przypomnieniem, że na głównych giełdach mogą występować błędy, które nie zostały jeszcze odkryte, stwarzając ryzyko dla zwykłych inwestorów, którzy korzystają z tych platform transakcyjnych do przechowywania swoich środków.
Może cię także zainteresować: Czy branża kryptowalut może zaufać Trumpowi?