CertiK раскрывает подробности уязвимости криптовалютной биржи Kraken и отвергает обвинения в вымогательстве

Компания CertiK, занимающаяся безопасностью блокчейнов, недавно раскрыла серьезную уязвимость, обнаруженную ею в криптовалютной бирже Kraken, и последовавшую за этим полемику. Между тем, CertiK решительно отвергла обвинения Kraken в вымогательстве и заявила, что вернет средства, использованные для тестирования.

Обнаружение уязвимостей и принятые меры

В CertiK заявили, что 5 июня ее исследователи обнаружили уязвимость в депозитной системе Kraken, которая может позволить злоумышленникам подделывать депозитные транзакции и выводить фальшивые средства. CertiK немедленно начала углубленное расследование и серию тестов для проверки реального риска уязвимости.

Тесты CertiK показали поразительный результат: миллионы долларов можно было внести на любой счет Kraken, а поддельную криптовалюту на сумму более 1 миллиона долларов можно было снять и конвертировать в действительную валюту. За несколько дней тестирования эти действия не вызвали никаких предупреждений. Kraken отреагировал на инцидент лишь несколько дней спустя и заблокировал тестовый аккаунт.

Возникающие споры и причиненные убытки

Хотя CertiK и Kraken изначально успешно связались и предприняли шаги по устранению уязвимости, впоследствии ситуация ухудшилась. 18 июня Kraken обвинили в угрозах сотрудникам CertiK, требовании погашения «несогласованных» сумм в необоснованные сроки без предоставления соответствующих адресов кошельков.

19 июня директор службы безопасности Kraken Ник Перкоко сообщил, что из-за уязвимости в его кошельке было потеряно почти 3 миллиона долларов. Он отметил, что 9 июня Kraken получил анонимную информацию от «исследователя безопасности», которая выявила серьезную уязвимость в системе финансирования. Kraken обнаружил, что три аккаунта воспользовались этой уязвимостью за короткий период времени.

План реагирования и возврата средств CertiK

CertiK отвергла обвинения Kraken в вымогательстве и заявила, что, поскольку Kraken не предоставила адрес погашения, а запрошенные суммы не совпадают, CertiK переведет средства обратно на счет, к которому Kraken имеет доступ, согласно записям. В CertiK подчеркнули, что средства предназначались для «белого тестирования».

Kraken обвиняет CertiK в неэтичных и предположительно преступных действиях, поскольку CertiK отклонила просьбу Kraken о возврате средств и предоставлении данных. Вместо этого CertiK организовала встречу с Kraken, чтобы обсудить определение суммы вознаграждения с учетом потенциальных потерь от неразглашения информации. #CertiK #Kraken #敲诈勒索 #指控 #交易所漏洞

Заключение

Инцидент не только подчеркнул уязвимость криптовалютных бирж с точки зрения безопасности, но и вызвал дискуссии об этических и правовых границах исследований безопасности.

Спор между CertiK и Kraken может иметь долгосрочные последствия для доверия и сотрудничества в сфере безопасности блокчейна. По мере того, как юридические и этические вопросы становятся более ясными, за развитием этого инцидента будут продолжать внимательно следить как внутри отрасли, так и за ее пределами.