În acest articol vorbim despre o poveste incredibilă: în urmă cu câteva zile compania de audit Certik a identificat o defecțiune în sistemele de securitate ale bursei de criptomonede Kraken care ar putea duce la un hack serios.

După ce a efectuat câteva teste timp de 3 zile și a executat un atac „white hack” în valoare de 3 milioane de dolari, Certik l-a contactat pe Kraken pentru a-l informa despre eroare, dar inițial a refuzat să returneze imediat suma furată.

Schimbul de cripto a contactat imediat forțele de ordine, tratând situația ca pe un caz penal, în timp ce firma de securitate criptografică insistă că este un test tipic al unui „program de recompense”. Acum, fondurile par să fi fost returnate.

Să vedem totul în detaliu mai jos.

Hackul de 3 milioane de dolari împotriva schimbului de criptomonede Kraken: Certik este responsabil, dar refuză să returneze banii

Această poveste începe pe 9 iunie 2024, când schimbul de criptografii Kraken primește o comunicare informală de la un „cercetător de securitate” care susține că a descoperit o vulnerabilitate pe platformă care ar fi putut provoca un hack la scară largă.

După cum a raportat într-un tweet post-mortem de Nick Percoco, Chief Security Officer al Kraken, cercetătorul a evidențiat o defecțiune în sistemele de securitate ale depozitelor (incapabile să distingă diferitele stări de transfer intern), care permite utilizatorilor să-și umfle soldul și retrage mai multe monede decât au de fapt la dispoziție. Bursa a luat imediat măsuri pentru a rezolva problema, iar în doar 47 de minute o echipă de experți a reușit să remedieze eroarea.

Iată ce a raportat Percoco:

„bunul a permis unui atacator rău intenționat, în circumstanțe potrivite, să inițieze o depunere pe platforma noastră și să primească fonduri în contul său fără a finaliza complet depunerea. Pentru a fi clar, niciun bun al clienților nu a fost vreodată în pericol”

Actualizare de securitate Kraken:

Pe 9 iunie 2024, am primit o alertă de program Bug Bounty de la un cercetător de securitate. Nu au fost dezvăluite inițial detalii, dar e-mailul lor a susținut că a găsit o eroare „extrem de critică” care le-a permis să-și umfle în mod artificial soldul pe platforma noastră.

— Nick Percoco (@c7five) 19 iunie 2024

Până acum totul este normal, cu excepția faptului că aceeași companie de securitate web3 unde lucrează cercetătorul care a contactat Kraken, înainte de a raporta oficial bug-ul, ar fi efectuat mai multe hack-uri pe platformă pentru un total de 3 milioane de dolari.

Imediat după publicarea postării lui Percoco, cunoscuta firmă de audit Certik și-a asumat imediat responsabilitatea pentru incident și și-a dezvăluit rolul crucial în această problemă.

Certik ar fi „testat” mecanismele de apărare ale lui Kraken efectuând un atac la scară largă și retrăgând cantități mari de jetoane MATIC din 3 conturi diferite, apoi curățând urmele fondurilor prin mixerul Tornado Cash.

 După cum a explicat managerul de securitate al schimbului, după ce a remediat problema, Kraken i-a cerut lui Certik să returneze fondurile, dar ea a refuzat inițial.

În ciuda acestui fapt, Certik insistă că activitatea sa este în conformitate cu principiile „white hack”.

Se pare că Certik nu a menționat rolul exploatatorului celor 3 conturi în incident, în ciuda faptului că a efectuat testele de retragere în cele 3 zile anterioare comunicării cu Kraken.

Cercetatorul de securitate care a depistat bug-ul ar fi cerut o recompensă substanțială pentru că a identificat un defect major care ar fi putut exploda într-un hack greu, dar Kraken a insistat să-și recupereze fondurile.

Întrucât societatea de audit a refuzat să returneze prada și, într-adevăr, părea că s-a mutat pentru a ascunde dovezile hackului, bursa a decis să trateze situația ca și cum ar fi fost un dosar penal prin sesizarea autorităților competente și a organelor de drept.

Compania de securitate web3 a cerut schimbului o recompensă egală cu suma speculată pe care acest bug ar fi putut-o provoca dacă nu ar fi fost dezvăluit, înfuriind echipa platformei de schimb.

Percoco a comentat pe profilul său X despre ceea ce s-a întâmplat, arătându-și toată opoziția față de comportamentul lui Certik:

„Acesta nu este hacking alb, este extorcare”.

Nu vom dezvălui această companie de cercetare deoarece nu merită recunoaștere pentru acțiunile lor. Tratăm acest lucru ca pe un caz penal și ne coordonăm în consecință cu agențiile de aplicare a legii. Suntem recunoscători că această problemă a fost raportată, dar aici se termină acest gând.

— Nick Percoco (@c7five) 19 iunie 2024

Negarea de către Certik: fondurile au revenit, în ciuda faptului că unii angajați au primit amenințări din partea echipei Kraken

Certik, după ce s-a prezentat ca fiind compania responsabilă cu identificarea defectului în sistemele de depozit, a negat imediat ceea ce a raportat Kraken, subliniind rolul său de „hack alb” și intențiile sale pozitive.

Compania a dezvăluit că a înființat un hack la scară largă, pentru o sumă de 3 milioane de dolari, exclusiv în scopul de a testa apărarea bursei, dar a subliniat și că nu a refuzat niciodată să returneze prada, ci mai degrabă a vrut să se asigure că totul a fost executat corect.

Certik a spus că a fost uimită de potențialul impact negativ pe care l-ar fi putut provoca bug-ul, dar mai ales de faptul că alarmele lui Kraken nu au fost niciodată declanșate. Acest lucru s-a spus într-o postare: 

„Milioane de dolari pot fi depuse în ORICE cont Kraken. O cantitate uriașă de cripto (în valoare de peste 1 milion de dolari) poate fi retrasă din cont și convertită în cripto-uri valide. Mai rău, în perioada de testare de mai multe zile, nu au fost declanșate alerte”.

În plus, firma de audit a explicat că un membru al echipei de schimb și-a amenințat propriul cercetător că va returna suma într-un interval de timp nerezonabil (6 ore), fără a furniza totuși o adresă de rambursare.

Acest lucru a avut loc după ce, la câteva zile după hack, cele două companii au avut un apel pentru a încerca să găsească o soluție și să rezolve problema.

CertiK a identificat recent o serie de vulnerabilități critice în schimbul @krakenfx, care ar putea duce la pierderi de sute de milioane de dolari.

Pornind de la o constatare în sistemul de depozit al @krakenfx, în care este posibil să nu facă diferența între diferitele interne... pic.twitter.com/JZkMXj2ZCD

— CertiK (@CertiK) 19 iunie 2024

Aparent, ceea ce a declanșat haosul a fost cuantumul recompensei propuse de Kraken, care nu a fost considerată adecvată efortului depus și potențialului exploat prevenit. După cum a raportat un purtător de cuvânt al Kraken către Coindesk:

„Am implicat acești cercetători cu bună-credință și, în conformitate cu un deceniu de gestionare a unui program de recompense pentru erori, am oferit o recompensă considerabilă pentru eforturile lor. Suntem dezamăgiți de această experiență și lucrăm acum cu forțele de ordine pentru a recupera activele de la acești cercetători în domeniul securității”.

Astăzi, Certik a publicat o altă postare cu câteva întrebări frecvente pentru a-și clarifica și mai mult poziția și pentru a elimina orice îndoială.

Compania de securitate reiterează că a confirmat „în mod constant” că va returna suma furată și afirmă că acum toate fondurile sunt din nou în mâinile lui Kraken.

Aceste fonduri au fost trimise înapoi către expeditor în 734,19215 ETH, 29.001 USDT și 1021,1 XMR, în timp ce schimbul solicitase în mod expres trimiterea de 155818.4468 MATIC, 907400.1803 USDT, 475.5555787817817878787817878787878787878787878000 cu aproximativ 100.000 de dolari .

Întrebări și răspunsuri la operațiunile recente CertiK-Kraken whitehat:

1. A pierdut vreun utilizator real fonduri?
Nu. Crypto-urile au fost scoase din aer și niciun bun al utilizatorului Kraken nu a fost implicat direct în activitățile noastre de cercetare.

2. Am refuzat să returnăm fondurile?
Nu. În comunicarea noastră cu...

— CertiK (@CertiK) 20 iunie 2024

Kraken rămâne ferm în conceptul său de etică a „white hacking” și susține că hărțuirea efectuată de Certik poate fi identificată ca extorcare.

Programul Bounty al schimbului solicită terților să găsească problema, să exploateze suma minimă necesară pentru a testa bug-ul (fără a executa un hack de 3 milioane de dolari), să returneze resursele și să ofere detalii despre vulnerabilitate.