Când cripto-auditorul CertiK a declarat miercuri că angajații săi au descoperit și au exploatat o eroare în Kraken, bursa din SUA, pentru 3 milioane de dolari au fost ridicate.

Când CertiK a spus apoi că a returnat fondurile bursei americane ca parte a unei așa-numite operațiuni cu pălărie albă, firma a fost lovită de disidența unui jucător deosebit de supărat – Kraken.

„Acesta nu este hacking cu pălărie albă, este extorcare!” Nick Percoco, ofițerul șef de securitate al lui Kraken, a spus într-o postare X miercuri.

Percoco a spus că cei care au găsit bug-ul au spus că nu vor returna niciun fond până când Kraken nu va dezvălui cât de multe daune ar fi putut provoca.

CertiK nu a durat mult să răspundă la declarațiile lui Kraken. „Ne-au acuzat public de furt și chiar ne-au amenințat direct angajații, ceea ce este complet inacceptabil”.

Durata neobișnuită – și mărimea uriașă de 3 milioane de dolari – a exploit-ului CertiK a stârnit o serie de întrebări. De obicei, testele whitehat de apărare cibernetică aleg o sumă minimă de bani pur și simplu pentru a demonstra vulnerabilitatea.

„Este o sumă incredibilă de luat în interesul unei exploatări de pălărie albă”, a declarat Michael Lewellen, șeful soluțiilor la firma concurentă de audit OpenZeppelin, pentru DL News.

Lewellen a spus că cercetătorii de securitate au fost concediați pentru acest tip de comportament.

„Dacă un cercetător de securitate de la orice altă firmă de audit de renume a comis acest tip de exploatare, ar fi concediat și respins imediat”, a spus el.

„Nu furi niciodată fonduri de la un client decât dacă există un pericol imediat, fără timp pentru a alerta o echipă și chiar și atunci îți asumi un risc mare pe care multe firme de audit preferă să nu-l asume din aceste motive.”

„În momentul în care descoperiți că ceva nu este în regulă, trebuie să solicitați siguranța utilizatorilor.”

Pascal Caversaccio, cercetător în securitate

Pascal Caversaccio, un cercetător independent de securitate, a spus că este ciudat că testul CertiK asupra sistemului Kraken a durat zile. Ar fi trebuit rezolvat în câteva minute.

„În momentul în care descoperiți că ceva nu este în regulă, trebuie să solicitați siguranța utilizatorilor”, a spus el pentru DL News. „Este atât de stupid. Nu numai din punct de vedere al securității, ci și din perspectiva afacerii.”

Există și alte anomalii.

Înregistrările Onchain arată că o adresă legată de CertiK a trimis fonduri către protocolul DeFi Tornado Cash, care a fost sancționat de Biroul de Control al Activelor Străine al Departamentului de Trezorerie al SUA sau OFAC.

Tornado Unghiul numerarului

Deși CertiK a returnat active Kraken, trimiterea unora prin Tornado Cash ar putea încălca sancțiunile SUA. Potrivit site-ului OFAC, sancțiunile pentru acest lucru pot depăși câteva milioane de dolari.

Lewellen a spus că folosirea Tornado Cash pentru hacking-ul whitehat este ciudată.

„Nu am auzit niciodată de o pălărie albă care să folosească Tornado Cash, mai ales având în vedere riscul sancțiunilor”, a spus el. „De obicei, nu folosiți Tornado Cash după sancțiuni decât dacă ați comis deja o infracțiune și riscul de încălcare a sancțiunilor este depășit.”

Alte părți din fondurile pe care CertiK le-a retras de la Kraken au fost trimise către ChangeNOW, un schimb criptografic care nu necesită verificări ale clienților tăi. CertiK a schimbat, de asemenea, monedele stabile USDT pe care le-a retras de la Kraken pentru ETH.

„Dacă ești o pălărie albă, nu faci asta”, a spus Taylor Monahan, expert în securitate cripto, la X.

CertiK nu a răspuns imediat unei solicitări de comentarii și nu a abordat public aceste tranzacții.

Tim Craig este corespondent DeFi la DL News. Ai un pont? Trimiteți-i un e-mail la tim@dlnews.com.