Când Nick Percoco, ofițerul șef de securitate al lui Kraken, a aflat că schimbul a fost piratat pentru 3 milioane de dolari luna trecută, zbura la 40.000 de picioare în drum spre o vacanță bine meritată.

Dar, în loc să se relaxeze în Japonia, Percoco a trebuit să sară în breșă și să ajute la gestionarea uneia dintre cele mai grave crize de securitate pentru a lovi al șaptelea cel mai mare schimb de criptomonede din lume.

„Tocmai mi s-a întâmplat să am acces la Wi-Fi în zbor”, a spus Percoco pentru DL News. „Făceam o comunicare de ultim moment cu oamenii de la serviciu, citeam știri pe Twitter. Și am văzut asta și apoi i-am direcționat către recompensă pentru bug-uri.”

Pe 19 iunie, Kraken a dezvăluit că un cercetător independent de securitate a raportat o vulnerabilitate critică la programul de recompensă de erori al schimbului.

Aceste programe oferă atacatorilor bani în schimbul identificării vulnerabilităților din proiecte.

Această slăbiciune specială a permis cercetătorului să-și crediteze conturile Kraken cu bani după bunul plac. Detectivul a lucrat pentru CertiK, firma de audit de securitate și cripto, care a declarat că a identificat această vulnerabilitate.

Pe parcursul a cinci zile, CertiK a retras 3 milioane de dolari în criptomonede din schimb, a spus Percoco.

Acest lucru este extrem de neobișnuit. Firmele de securitate nu ar trebui să exploateze o vulnerabilitate atât de mult timp și pentru atât de mulți bani, a spus Percoco.

Fondurile au fost în cele din urmă returnate, iar eroarea a fost remediată în 47 de minute. Totuși, a fost un episod uluitor, chiar și după standardele cripto.

A fost o încălcare masivă a unuia dintre cele mai stabilite schimburi din industrie. Fondată în 2011, ascensiunea Kraken a fost sinonimă cu instituționalizarea Bitcoin.

În ianuarie, au fost aprobate 11 ETF-uri Bitcoin spot diferite. Luni mai târziu, Kraken strânge fonduri înainte de o posibilă ofertă publică inițială.

Exploata a fost, de asemenea, bizară. CertiK, o afacere construită pe cod de securizare pentru cripto, părea să încalce aproape toate standardele din industrie în ceea ce privește recompensele pentru erori. Ei au încercat chiar să stabilească un apel de vânzări cu echipa de securitate a lui Kraken pe tot parcursul debaclei.

CertiK nu a răspuns imediat solicitării de comentarii a DL News.

Într-un tweet, Percoco a spus că CertiK extorca schimbul, mai degrabă decât piratarea cu pălărie albă.

Reguli de bază

Programele de recompense pentru erori sunt comune în industria cripto și tehnologie.

Orice proiect cripto care își merită codul pune deoparte numerar pentru mai multe audituri ale contractelor sale inteligente și o altă sumă pentru a recompensa hackerii vicleni, dar etici, care identifică o eroare.

Luna trecută, un cercetător a câștigat 2 milioane de dolari pentru identificarea unei erori în rețeaua de nivel 1 Sei. Kraken plătește până la 1,5 milioane de dolari pentru erori critice precum cea care s-a întâmplat recent.

Percoco, cercetător în domeniul securității de la sfârșitul anilor '90, spune că programul Kraken există de un deceniu. Căsuța sa de e-mail este plină de exploatări false de la oameni care caută o plată rapidă.

El a crezut chiar că raportul CertiK este fals.

„Încheierea a fost „trebuie să ne contactați cât mai curând posibil” și nu existau informații de contact. Nici măcar nu am putut direcționa un mesaj”, a spus el. „Era puțin îndoielnic dacă acesta a fost cineva care doar încerca să ne înșele.”

steaguri rosii

Totuși, echipa de cinci persoane care monitorizează căsuța de e-mail zi și noapte trebuie să analizeze fiecare raport. Întrucât Kraken generează peste 1 miliard de dolari în volum zilnic de tranzacționare, sunt multe în joc.

Lipsa informațiilor de contact nu a fost singurul semnal roșu, a spus Percoco.

Colecționarii de recompense trebuie să respecte patru reguli pentru raportarea erorilor. În primul rând, trebuie să raporteze eroarea companiei de îndată ce o identifică.

În al doilea rând, colectorii de recompense trebuie să demonstreze că pot exploata bug-ul. În al treilea rând, atunci când oferă dovezi, ei trebuie să ia doar suficienți bani pentru a dovedi vulnerabilitatea.

Și, în cele din urmă, trebuie să angajeze compania să retesteze exploit-ul și să vadă dacă compania a reușit să-l repare.

CertiK a adoptat o abordare diferită, încălcând toate cele patru reguli, potrivit Percoco.

Dureri de creștere cripto

Cu BlackRock și Fidelity care se revarsă în spațiu, securitatea și recompensele de erori sunt în centrul atenției. Dar, spre deosebire de alte industrii, în care cele mai bune practici durează ani, în cripto, acestea pot dura doar câteva zile.

Firmele încă investesc bani în programele de recompense pentru erori, în ciuda celui mai recent incident.

Conform platformei de recompense pentru bug HackerOne, schimbul de criptografii Crypto.com oferă 80.000 USD pentru o eroare critică. Serviciul de custodie Fireblocks oferă o recompensă uriașă de 250.000 USD pentru vulnerabilități similare.

Chiar și Coinbase listată public va plăti 1 milion de dolari, dacă poți intra în schimb.

Recompensele pentru bug-uri sunt scumpe și uneori grele de siguranță, dar cu 664 de milioane de dolari deja furate în acest an, acestea sunt în mod clar necesare.

Liam Kelly este corespondent DeFi la DL News. Luați legătura la liam@dlnews.com.