CertiK против Kraken: Какой стандарт подойдет хакерам в белой шляпе?

Оригинал｜Odaily Planet Daily

Автор｜jk

19 июня по местному времени в США криптовалютная биржа Kraken и компания по обеспечению безопасности блокчейнов CertiK вступили в публичную конфронтацию в социальных сетях по поводу ряда серьезных уязвимостей безопасности.

Инцидент произошел из-за уязвимости Kraken, обнаруженной CertiK: директор службы безопасности Kraken Ник Перкоко сообщил в Твиттере, что в рамках программы вознаграждений за ошибки был получен отчет о «чрезвычайно серьезной» уязвимости, и в отчете утверждалось, что была обнаружена уязвимость, которая могла быть искусственно обнаружена. уязвимость, увеличивающая балансы счетов. CertiK назвала это проверкой безопасности биржи Kraken и предположила, что CertiK воспользовалась уязвимостью в середине для получения прибыли. Обе стороны настаивали на своем мнении и продолжали спорить, образуя масштабную сцену поедания дынь.

Раскрытие информации об инциденте с Кракеном

Ниже приводится процесс инцидента, опубликованный директором службы безопасности Kraken на платформе X:

«9 июня 2024 года мы получили предупреждение от исследователя безопасности через нашу программу вознаграждений за ошибки. Поначалу никаких подробностей не было, но они заявили, что обнаружили «чрезвычайно серьезную» уязвимость, которая позволила им использовать нашу платформу. Баланс таков. искусственно увеличено.

Каждый день мы получаем фальшивые отчеты об уязвимостях от людей, называющих себя «исследователями безопасности». В этом нет ничего нового для тех, кто запускает программу вознаграждения за обнаружение ошибок. Однако мы очень серьезно относимся к этому вопросу и быстро собрали межфункциональную команду для расследования проблемы. Вот что мы нашли.

Через несколько минут мы обнаружили изолированную уязвимость. При определенных обстоятельствах эта уязвимость может позволить злоумышленнику инициировать операцию внесения депозита и получить средства на свой счет, не завершив депозит полностью.

Чтобы внести ясность, активы клиентов никогда не подвергаются риску. Однако злоумышленник может эффективно генерировать активы в своей учетной записи Kraken в течение определенного периода времени.

Мы оценили эту уязвимость как критическую, и наша команда экспертов устранила проблему в течение часа (точнее, 47 минут). В течение нескольких часов проблема была полностью устранена и больше никогда не повторится.

Наша команда обнаружила, что уязвимость связана с недавними изменениями пользовательского опыта (UX), которые снимают средства со счетов клиентов непосредственно перед расчетом их активов и позволяют клиентам торговать на рынках криптовалют в режиме реального времени. Это изменение пользовательского интерфейса не было полностью протестировано против этого конкретного вектора атаки.

После устранения риска мы провели тщательное расследование и быстро обнаружили, что три аккаунта воспользовались уязвимостью в течение нескольких дней. В ходе дальнейшего расследования мы заметили, что один из аккаунтов был связан посредством KYC с человеком, утверждающим, что он является исследователем безопасности.

Этот человек обнаружил эту уязвимость в нашей системе финансирования и использовал ее, чтобы увеличить баланс своего счета на 4 доллара. Этого достаточно, чтобы доказать наличие уязвимости, отправить нашей команде отчет об обнаружении ошибок и получить значительное вознаграждение согласно условиям нашей программы.

Однако «исследователь безопасности» раскрыл уязвимость двум другим людям, с которыми он работал, которые воспользовались ею для мошеннического получения больших сумм средств. В итоге они сняли со своих счетов в Kraken почти 3 миллиона долларов. Эти средства поступают из хранилищ Kraken, а не из активов других клиентов.

Первоначальный отчет об обнаружении ошибок не полностью раскрывал информацию об этих транзакциях, поэтому мы обратились к исследователям безопасности, чтобы подтвердить некоторые детали и вознаградить их за успешное обнаружение уязвимостей безопасности на нашей платформе.

Затем мы попросили их предоставить подробное описание своей деятельности, создать доказательство концепции ончейн-деятельности и организовать возврат выведенных ими средств. Это обычная практика для любой программы вознаграждения за обнаружение ошибок. Исследователи безопасности отказались.

Вместо этого они попросили поговорить со своей командой BD (то есть с торговыми представителями) и не согласились вернуть какие-либо средства, пока мы не предоставим гипотетическую сумму возможных потерь. Это не взлом в белых шляпах, это вымогательство!

У нас в Kraken действует программа вознаграждения за обнаружение ошибок уже почти десять лет. Программа осуществляется собственными силами, и в ней на постоянной основе работают самые яркие умы сообщества. В нашей программе, как и во многих других, есть четкие правила:

• Не извлекайте больше, чем необходимо для доказательства уязвимости.

• Продемонстрируйте свою работу (т. е. предоставьте подтверждение концепции).

• Все изъятое должно быть немедленно возвращено.

У нас никогда не было проблем с работой с законными исследователями, и мы всегда готовы ответить на них.

В интересах прозрачности сегодня мы раскрываем этой уязвимости отрасли. Нас обвиняли в неразумности и непрофессионализме, когда мы просили «белых хакеров» вернуть то, что они у нас украли. Это невероятно.

Как исследователю безопасности, ваша «хакерская» лицензия активируется, если вы следуете простым правилам программы вознаграждения за обнаружение ошибок, в которой вы участвуете. Игнорирование этих правил и ограбление компании приведет к отзыву вашей «хакерской» лицензии. Это делает вас и вашу компанию преступниками.

Мы не будем называть исследовательскую фирму, поскольку их действия не заслуживают признания. Мы рассматриваем это как уголовное дело и сотрудничаем с правоохранительными органами. Мы ценим сообщение об этой проблеме, но это все.

Наша программа вознаграждения за ошибки продолжает играть важную роль в миссии Kraken и является ключевой частью наших усилий по повышению общей безопасности криптоэкосистемы. Мы рассчитываем на сотрудничество с будущими участниками процесса добросовестности и рассматриваем это как отдельное мероприятие. "

Сертик ответил

Хотя Kraken не назвал конкретного названия компании, к которой принадлежит исследователь безопасности, CertiK опубликовала ответ на инцидент на платформе X через несколько часов. Ниже приводится ответ официальной платформы X CertiK:

«Недавно CertiK обнаружила ряд критических уязвимостей на бирже Kraken, которые могут привести к убыткам в сотни миллионов долларов.

Начиная с обнаружения проблемы в депозитной системе Kraken, которая не может различать различные статусы внутренних переводов, мы провели тщательное расследование, сосредоточив внимание на следующих трех проблемах:

1. Может ли злоумышленник подделать транзакцию внесения депозита на счет Kraken?

2. Могут ли злоумышленники вывести фальшивые средства?

3. Какие средства контроля рисков и защиты активов могут быть активированы в случае крупных запросов на снятие средств?

Согласно результатам наших тестов: Kraken Exchange не прошел все эти тесты, что указывает на то, что система глубокоэшелонированной защиты Kraken была скомпрометирована несколькими способами. Миллионы долларов могут быть переведены на любой счет Kraken. Более 1 миллиона долларов США в поддельной криптовалюте могут быть сняты со счетов и конвертированы в действительные криптовалюты. Что еще хуже, во время многодневного периода тестирования не сработало ни одной сигнализации. Kraken ответил и заблокировал тестовый аккаунт только после того, как мы официально сообщили об инциденте.

После обнаружения мы уведомили Kraken, и его команда безопасности классифицировала его как «Критический» — самый серьезный уровень классификации инцидентов безопасности Kraken.

После первоначального успешного выявления и устранения уязвимости группа безопасности Kraken пригрозила отдельным сотрудникам CertiK выплатить несовпадающие суммы в криптовалюте в необоснованные сроки, даже не указав адрес погашения.

В духе прозрачности и наших обязательств перед сообществом Web3 мы раскрываем эту информацию для защиты безопасности всех пользователей. Мы призываем Kraken прекратить любые угрозы в адрес хакеров в белой шляпе.

Вместе мы сталкиваемся с рисками и защищаем будущее Web3. "

Позже CertiK раскрыла полный график и адрес депозита.

Сроки объявлены CertiK. Источник: Официальный сайт CertiK X.

В то же время CertiK также заявила, что, поскольку Kraken не предоставил адрес погашения, а требуемая сумма погашения вообще не соответствует, мы перевели существующие средства на счет, к которому Kraken мог получить доступ на основании записей.

Другие новости и последующие комментарии

Судя по исходной информации, сумма вознаграждения по программе вознаграждения за ошибки Kraken действительно значительна. Вознаграждение за самый высокий уровень безопасности, подобное этому инциденту, составляет от 1 до 1,5 миллиона долларов США. Это значительная разница с тремя миллионами долларов США, заявленными Kraken. Поэтому некоторые люди в комментариях написали: «Я не думаю, что хакеру следует их возвращать». Другие ответили: «Вы хотите забрать один миллион». Отправитесь в тюрьму с тремя миллионами незаконных доходов?

Награды от программы вознаграждений за ошибки Kraken. Источник: Кракен

Сетевой детектив ZachXBT сказал: «Эта история становится все более дикой по мере развития.

Другой пользователь Твиттера, @trading_axe, применил другой подход и сказал: «Я думаю, что (CertiK) облажались… не говорю, что они воровали, но вор заберет все, что сможет, и уйдет. Я думаю, они облажались». Плохо то, что они взяли всего три миллиона долларов; если бы они использовали эту ошибку, чтобы украсть более 100 миллионов, то, если бы они вернули их, они бы выглядели как белые шляпы (подразумевается, что это сделало бы их спасителями). /имея инициативу). Однако вы взяли всего три миллиона и теперь вынуждены их отдать, что кажется очень слабым».