Kraken recuperează 3 milioane de dolari din fonduri lipsă după exploatarea Bug Bounty

Schimbul de criptomonede Kraken a recuperat cu succes aproape 3 milioane de dolari în active digitale în urma unei exploatări de recompensă de erori de profil înalt de către CertiK. Nicholas Percoco, ofițerul șef de securitate al Kraken, a confirmat recuperarea într-o postare din 20 iunie pe X, afirmând: „Actualizare: acum putem confirma că fondurile au fost returnate (minus o mică sumă pierdută din cauza taxelor)”. Acest anunț a venit după ce Percoco a dezvăluit inițial dispariția fondurilor pe 19 iunie, atribuind incidentul unui „cercetător de securitate” care a exploatat un bug.

Kraken a susținut că cercetătorul de securitate a extorcat schimbul, refuzând să returneze fondurile fără recompensă. Firma de securitate Blockchain CertiK s-a identificat în curând drept „cercetătorul de securitate” implicat în incident. Într-o postare din 19 iunie X, CertiK a detaliat că l-a informat pe Kraken despre un exploit care a permis retragerea a milioane de euro din conturile bursei. CertiK a mai susținut că Kraken și-a amenințat angajații să ramburseze cantitatea nepotrivită de criptomonede într-un interval de timp nerezonabil, fără a furniza adrese de rambursare.

Saga a ridicat întrebări cu privire la necesitatea retragerii de aproape 3 milioane de dolari. Percoco a remarcat inițial că un simplu transfer de 4 USD ar fi fost suficient pentru a dovedi eroarea și pentru a se califica pentru o recompensă considerabilă din programul de recompense Kraken. Cu toate acestea, CertiK și-a apărat acțiunile, explicând că suma mare a făcut parte dintr-un efort de testare a limitelor securității și controalelor de risc ale Kraken. „Vrem să testăm limita protecției Kraken și a controlului riscurilor. După mai multe teste pe parcursul mai multor zile și în valoare de aproape 3 milioane de dolari cripto, nu au fost declanșate alerte și încă nu ne-am dat seama de limita”, a declarat CertiK.

CertiK a clarificat, de asemenea, că nu a cerut inițial o recompensă; în schimb, Kraken menționase primul despre recompensă. „Nu am menționat niciodată nicio cerere de recompensă. Kraken a fost cel care ne-a menționat prima recompensă, în timp ce noi am răspuns că recompensa nu este subiectul prioritar și am vrut să ne asigurăm că problema a fost rezolvată”, a explicat CertiK. Ei au adăugat că niciun fond al utilizatorului Kraken nu era în pericol, deoarece fondurile exploatate au fost „bătute din aer”.