TLDR
Kraken обнаружил ошибку, которая позволяла пользователям искусственно раздувать свои балансы и выводить средства без завершения депозитов.
CertiK, фирма, занимающаяся безопасностью блокчейнов, назвала себя «исследователем безопасности», который воспользовался ошибкой и вывел почти 3 миллиона долларов из казначейства Kraken.
Kraken утверждает, что CertiK отказалась вернуть средства до тех пор, пока биржа не предоставит оценку потенциальных потерь, назвав это «вымогательством».
CertiK защищала свои действия, заявляя, что она тестировала масштаб уязвимости и что Kraken угрожал своим сотрудникам вернуть несоответствующую сумму средств в необоснованные сроки.
Инцидент вызвал дискуссию об этике белого взлома и программ вознаграждения за ошибки в криптовалютной индустрии.
Криптовалютная биржа Kraken недавно сообщила, что стала жертвой уязвимости безопасности, которая позволяла пользователям искусственно раздувать балансы своих счетов и выводить средства без полного завершения депозитов. Биржа сообщила, что в результате взлома из ее казны было украдено почти 3 миллиона долларов.
Фирма CertiK, занимающаяся безопасностью блокчейнов, выступила вперед, назвав себя «исследователем безопасности», ответственным за использование ошибки и вывод средств.
Начальник службы безопасности Kraken Ник Перкоко ранее обвинил тогда еще неназванную команду безопасности в «вымогательстве» за отказ вернуть средства до тех пор, пока биржа не предоставит оценку потенциальных потерь, если ошибка останется нераскрытой.
Обновление безопасности Кракена:
9 июня 2024 года мы получили предупреждение программы Bug Bounty от исследователя безопасности. Никаких подробностей изначально не разглашалось, но в их электронном письме утверждалось, что они обнаружили «чрезвычайно критическую» ошибку, которая позволила им искусственно завышать свой баланс на нашей платформе.
– Ник Перкоко (@c7five), 19 июня 2024 г.
CertiK, однако, защищала свои действия, утверждая, что она тестировала масштаб уязвимости и что Kraken угрожал своим сотрудникам вернуть несоответствующую сумму средств в необоснованные сроки, даже не указав адрес для погашения.
CertiK недавно выявила ряд критических уязвимостей на бирже @krakenfx, которые потенциально могут привести к убыткам в сотни миллионов долларов.
Начиная с обнаружения в депозитной системе @krakenfx, где она может не различать разные внутренние… pic.twitter.com/JZkMXj2ZCD
– CertiK (@CertiK) 19 июня 2024 г.
Охранная фирма предоставила хронологию событий, подробно описав свое взаимодействие с Kraken и обнаружение эксплойта.
По данным CertiK, уязвимость позволила перевести миллионы долларов на любой счет Kraken с возможностью вывода и конвертации сфабрикованной криптовалюты в действительные криптовалюты.
Фирма также заявила, что в течение многодневного периода тестирования не поступало никаких предупреждений, а Kraken ответил и заблокировал тестовые учетные записи только через несколько дней после первоначального раскрытия информации.
Инцидент вызвал дискуссию об этике белого взлома и эффективности программ вознаграждения за обнаружение ошибок.
В то время как некоторые утверждают, что действия CertiK были оправданы интересами тщательного тестирования уязвимости, другие считают, что фирма перешла черту, сняв такую большую сумму денег и отказавшись вернуть ее в кратчайшие сроки.
Kraken утверждает, что действия CertiK не соответствуют принципам белого взлома и что компания работает с правоохранительными органами над возвращением активов. Биржа также подчеркнула, что эксплойт не затронул средства пользователей, поскольку украденные деньги поступили из собственных казначейств Kraken.
Сообщение Bug Bounty Gone Wrong: Kraken обвиняет CertiK в вымогательстве, CertiK защищает свои действия впервые появилось на Blockonomi.
