Кракен обвиняет охотника за головами в вымогательстве после сообщения об ошибке

Bug Bounty пошла не так: криптовалютная биржа Kraken обвиняет исследователя в вымогательстве

При неожиданном повороте событий криптовалютная биржа Kraken оказалась втянутой в ситуацию, когда отчет исследователя безопасности принял мрачный оборот.

9 июня анонимный человек, назвавшийся исследователем безопасности, предупредил Kraken о критической уязвимости безопасности. Однако ситуация резко ухудшилась, когда, по словам директора службы безопасности Kraken Николаса Перкоко, два аккаунта, связанные с исследователем, воспользовались ошибкой для кражи цифровых активов на сумму более 3 миллионов долларов.

Вместо того, чтобы просто сообщить об уязвимости и получить вознаграждение через установленную программу вознаграждения за ошибки Kraken, исследователь потребовал встречи с отделом продаж биржи и отказался возвращать украденные средства. Percoco в посте от 19 июня решительно осудил эти действия, заявив: «Это не взлом white hat, это вымогательство!»

Kraken подчеркивает, что в этом инциденте не были скомпрометированы средства пользователей. Украденная криптовалюта поступила напрямую из казны биржи. Будучи преисполнена решимости вернуть украденные средства и привлечь виновных к ответственности, Kraken усердно сотрудничает с правоохранительными органами.

Хотя один из трех аккаунтов Kraken, использованных в эксплойте, прошел проверку по принципу «Знай своего клиента» (KYC), истинная личность человека остается неизвестной. Первоначальный контакт продемонстрировал уязвимость с помощью небольшого перевода в размере 4 долларов, что является достаточным доказательством для получения значительного вознаграждения в рамках программы вознаграждений за обнаружение ошибок Kraken. Однако последующее участие двух других аккаунтов и кража гораздо большей суммы вызывают серьезные вопросы об истинных намерениях исследователя.

Несмотря на этот негативный опыт, Kraken остается приверженной своей программе вознаграждения за обнаружение ошибок, краеугольному камню их стратегии безопасности. Как подчеркивает Перкоко, «В сущности прозрачности мы раскрываем эту ошибку отрасли сегодня». Он также выражает недоверие обвинениям в непрофессионализме за попытку вернуть украденные средства.

Проблемы криптобезопасности: меняющийся ландшафт

Этот инцидент подчеркивает меняющийся ландшафт угроз безопасности криптовалют. Хотя уязвимости смарт-контрактов были серьезной проблемой в 2022 году, отчет Merkle Science «2024 Crypto HackHub Report» указывает на тревожную тенденцию. Криптохакеры и эксплуататоры, похоже, добиваются успеха в 2024 году: количество украденных цифровых активов в первом квартале уже превысило количество украденных цифровых активов за тот же период 2023 года на значительные 42%. Примечательно, что утечки закрытых ключей стали основной причиной этих эксплойтов, превзойдя уязвимости смарт-контрактов.