Kraken susține că CertiK a fost excesiv – dar firma de securitate cibernetică insistă că retragerile la scară largă au fost necesare pentru a stabili amploarea problemei.
Săptămâna trecută, Kraken a anunțat că o eroare critică le-a permis cercetătorilor de securitate să-și umfle în mod artificial soldul - și să retragă aproape 3 milioane de dolari.
Actualizare de securitate Kraken: pe 9 iunie 2024, am primit o alertă de program Bug Bounty de la un cercetător de securitate. Nu au fost dezvăluite inițial detalii, dar e-mailul lor a susținut că a găsit o eroare „extrem de critică” care le-a permis să-și umfle în mod artificial soldul pe platforma noastră.
— Nick Percoco (@c7five) 19 iunie 2024
Dar a existat ceva incredibil de neobișnuit în întregul incident și a sfârșit prin a declanșa un război de cuvinte între bursa cripto și o firmă importantă de securitate cibernetică.
Ofițerul șef de securitate al lui Kraken, Nick Percoco, a început lucrurile anunțând că a fost găsită o defecțiune care a permis actorilor rău intenționați să imprime fonduri într-un cont.
A durat 47 de minute pentru a atenua problema și câteva ore pentru a remedia complet. Până acum, toate acestea par destul de normale și de rutină.
Dar Percoco a escaladat lucrurile și mai mult, susținând că cercetătorul de securitate implicat le-a spus doi dintre colegii lor despre această problemă, permițându-le să ia fonduri ale companiei în valoare de milioane.
El a spus că Kraken a cerut detalii despre cum a fost realizată exploatarea și a căutat să aranjeze ca fondurile să fie returnate integral, dar a susținut că schimbul a fost respins.
„În schimb, au cerut un apel cu echipa lor de dezvoltare a afacerii (adică reprezentanții lor de vânzări) și nu au fost de acord să returneze niciun fond până când nu vom furniza o sumă de dolari speculată pe care această eroare ar fi putut-o provoca dacă nu l-ar fi dezvăluit. Acesta nu este hacking cu pălărie albă, este extorcare!”
Nick Percoco
Percoco a continuat susținând că cercetătorii nu au lucrat în spiritul programului de recompensă pentru erori, deoarece au extras mult mai mult decât aveau nevoie, nu au furnizat o dovadă a conceptului și nu au returnat banii imediat.
Deci, ce se întâmpla aici? Era acesta un hacker cu pălărie albă care își făcea drum spre partea întunecată? Cineva îl ține pe Kraken pentru răscumpărare? O chestiune penală?
S-ar putea să vă placă și: Cum să cumpărați monede înainte ca acestea să fie afișate
CertiK face un pas înainte
Aici povestea ia o turnură neobișnuită. S-ar putea să fi presupus că exploit a fost orchestrată de un adolescent strălucitor închis undeva în dormitorul lor. De fapt, a fost realizat de CertiK — unul dintre cei mai mari auditori din spațiul Web3.
La doar trei ore după discuția lui Percoco despre X, compania a făcut un pas înainte cu propria sa versiune a evenimentelor.
CertiK a identificat recent o serie de vulnerabilități critice în schimbul @krakenfx, care ar putea duce la pierderi de sute de milioane de dolari. JZkMXj2ZCD
— CertiK (@CertiK) 19 iunie 2024
S-a spus că zile și zile de teste nu au reușit să ridice semnale roșii în sistemele interne ale Kraken - ceea ce înseamnă că echipa de securitate a bursei a intervenit doar după ce i s-a spus despre defecțiune.
„După conversiile inițiale de succes privind identificarea și remedierea vulnerabilității, echipa de operațiuni de securitate a Kraken a AMENINȚAT angajații individuali CertiK să ramburseze o sumă nepotrivită de criptomonede într-un timp NEREAZONABIL, chiar și FĂRĂ să furnizeze adrese de rambursare.”
CertiK
CertiK a continuat să-l îndemne pe Kraken „să înceteze orice amenințări împotriva hackerilor de pălărie albă”.
O zi mai târziu, a continuat cu un thread care răspundea la întrebări despre cercetarea sa.
Întrebări și răspunsuri la operațiunile recente CertiK-Kraken: 1. A pierdut vreun utilizator real fonduri? Nu. Crypto-urile au fost bătute din aer și niciun bun al utilizatorului Kraken nu a fost implicat direct în activitățile noastre de cercetare.2. Am refuzat să returnăm fondurile?Nu. În comunicarea noastră cu...
— CertiK (@CertiK) 20 iunie 2024
Pe lângă faptul că a subliniat că niciun client Kraken nu a ajuns să piardă bani, CertiK a subliniat că a „asigurat în mod constant” companiei că banii vor fi returnați și așa a fost. Singurul punct de lipit? Dezacord cu privire la cât se datora de fapt schimbul.
Explicând de ce a ales să exploateze defectul la o scară atât de mare, compania a adăugat:
„Vrem să testăm limita protecției Kraken și a controlului riscurilor. După mai multe teste în mai multe zile și în valoare de aproape trei milioane de cripto, nu au fost declanșate alerte și încă nu ne-am dat seama de limita.”
CertiK
Citind printre rânduri și se pare că CertiK dorea răspunsuri de la Kraken cu privire la cât de mult ar fi putut ajunge un fraudator autentic dacă ar fi continuat.
Firma de securitate cibernetică a continuat să susțină că o recompensă pentru erori se afla departe de lista sa de priorități - și toate tranzacțiile asociate cu testele sale au intrat în domeniul public.
Un război atotputernic al cuvintelor
Pe X, a existat un dezacord destul de mare cu privire la cine are dreptate și cine a greșit.
Întrebarea adevărată ar trebui să fie de ce ați exploatat o cantitate obscenă ca parte a testării dvs. într-un rol în care încrederea este elementul cel mai important. Luați L și nu mai scrieți pe Twitter fără aviz juridic.
— Vezi $LSS BULL (@crypto_seeb) 19 iunie 2024
3 milioane de dolari sunt arahide în comparație cu amploarea unui potențial hack de faliment. Double L de către Kraken, transformând-o într-o problemă publică, în loc să-i mulțumească lui Dumnezeu că anons nu l-au exploatat.
— everhusk (@everhusk) 19 iunie 2024
Argumentul CertiK se rezumă la asta: trebuia să facă retrageri astronomic de mari pentru a testa dacă vreuna dintre ele ar ajunge să fie semnalată de sistemele interne ale Kraken.
Conflictul, care acum pare să fi fost rezolvat la suprafață, evidențiază o parte din tensiunea dintre afacerile din spațiul cripto – și cercetătorii în securitate cibernetică însărcinați să le țină sub control.
Este necesar să existe un acord mai mare cu privire la regulile de angajament? Există vreodată cazuri în care exploatările pe scară largă ale hackerilor de pălărie albă sunt justificate, deoarece ar putea preveni ceva mai calamitos la o dată ulterioară?
Dacă acest lucru s-ar fi întâmplat cu Rețeaua Ronin – ajutând la prevenirea unuia dintre cele mai mari furturi criptografice din toate timpurile care a dus la furtul de 625 de milioane de dolari – probabil ați argumenta că furtul temporar a câteva milioane de dolari ar fi justificat.
Indiferent de felul în care îl priviți, acest incident este un memento dureros că bursele majore ar putea avea erori care nu au fost încă descoperite, prezentând un risc pentru investitorii obișnuiți care folosesc aceste platforme de tranzacționare pentru a-și stoca fondurile.
S-ar putea să vă placă și: Poate industria crypto să aibă încredere în Trump?