Firma de securitate Blockchain CertiK s-a identificat ca fiind cercetătorul de securitate Kraken care susține că a furat active digitale în valoare de aproape 3 milioane de dolari. 

Kraken a suferit un atac de bug cu mai puțin de două săptămâni în urmă, pierzând aproape 3 milioane de dolari. La acea vreme, schimbul de criptomonede a declarat că tratează incidentul ca un caz penal și se va coordona cu agențiile de aplicare a legii. 

Atacul Kraken 

Pe 9 iunie, schimbul de criptomonede Kraken a dezvăluit că a suferit un exploit care a făcut ca platforma să piardă active în valoare de 3 milioane de dolari. Potrivit unui raport împărtășit de șeful de securitate al Kraken, Nicholas Percoco, platforma a primit o alertă de program de recompensă de erori de la un cercetător în securitate care pretindea că a găsit o eroare extrem de critică care le-a permis să-și umfle soldul pe Kraken în mod artificial. 

„Pe 9 iunie 2024, am primit o alertă de program de recompensă de erori de la un cercetător de securitate. Nu au fost dezvăluite inițial detalii, dar e-mailul lor a susținut că a găsit o eroare „extrem de critică” care le-a permis să-și umfle în mod artificial soldul pe platforma noastră.”

Percoco a declarat că, în urma investigațiilor ulterioare, au descoperit un bug izolat care i-a oferit actorului rău privilegii semnificative, permițându-le să inițieze o depunere pe Kraken și să primească fonduri în contul lor chiar și fără a-și finaliza depunerea. Vulnerabilitatea, care a apărut după o modificare recentă a UX pe Kraken, a permis atacatorului să „tipărească active” în contul Kraken. Kraken a declarat că defectul a fost remediat și că niciun fond al clienților nu a fost compromis. Kraken a susținut că o investigație ulterioară a dezvăluit că cercetătorul de securitate a împărtășit bug-ul cu doi colegi, care l-au folosit pentru a obține fonduri semnificative în mod fraudulos. 

CertiK se identifică ca cercetător de securitate

Acum, firma de securitate blockchain CertiK s-a identificat ca fiind cercetătorul de securitate Kraken care susține că a furat active digitale în valoare de 3 milioane de dolari. Într-o postare pe X, CertiK a declarat că l-a informat pe Kraken despre un exploit care i-a permis să elimine milioane din conturile bursei. 

„CertiK a identificat recent o serie de vulnerabilități critice în schimbul @krakenfx, care ar putea duce la pierderi de sute de milioane de dolari. După descoperire, l-am informat pe Kraken, a cărui echipă de securitate l-a clasificat drept Critic: cel mai serios nivel de clasificare de la Kraken.”

Firma de securitate blockchain a susținut că echipa de operațiuni de securitate a lui Kraken a amenințat angajații CertiK. 

„După conversiile inițiale de succes privind identificarea și remedierea vulnerabilității, echipa de operațiuni de securitate a Kraken a AMENINȚAT angajații individuali CertiK să ramburseze o sumă NEPOTRIVIT de criptomonede într-un timp NERECONABIL, chiar și FĂRĂ să furnizeze adrese de rambursare. În spiritul transparenței și al angajamentului nostru față de comunitatea Web3, vom face public pentru a proteja securitatea tuturor utilizatorilor. Îndemnăm [Kraken] să înceteze orice amenințări împotriva hackerilor de pălărie albă.”

CertiK a postat, de asemenea, o cronologie a evenimentelor, începând cu identificarea exploit-ului pe 5 iunie și terminând cu Kraken amenințarea angajaților CertiK pe 18 iunie. Firma de securitate a adăugat că va transfera și fondurile într-un cont pe care Kraken ar putea să-l acceseze. 

Comunitatea cripto care sprijină Kraken 

Reacțiile multora din comunitatea cripto au părut să-l favorizeze pe Kraken, susținând că acțiunile CertiK nu s-au aliniat cu modul în care s-ar fi comportat hackerii cu pălărie albă. Cu toate acestea, nu este clar dacă Kraken intenționează să depună o acțiune în justiție sau are motive să facă acest lucru. 

„Certik tocmai a recunoscut că este firma de securitate care a furat de la Kraken și încearcă să-i stoarcă pentru mai multă plată. Având în vedere cât de des sunt piratate auditurile Certik și acum asta, este sălbatic că încă mai există. De-a dreptul criminal.”

CertiK a identificat anterior vulnerabilități semnificative în Wormhole Bridge și aplicația Telegram. Firma a raportat că aproximativ 1 miliard de dolari în active digitale au fost pierdute din cauza activităților ilegale în 2023.

Disclaimer: Acest articol este oferit doar în scop informativ. Nu este oferit sau intenționat să fie utilizat ca consiliere juridică, fiscală, de investiții, financiară sau de altă natură.