В этой статье мы рассказываем о невероятной истории: несколько дней назад аудиторская компания Certik выявила уязвимость в системах безопасности криптобиржи Kraken, которая могла привести к серьёзному взлому.

После проведения нескольких тестов в течение 3 дней и выполнения атаки «white hack» стоимостью 3 миллиона долларов Certik связался с Kraken, чтобы сообщить об ошибке, но поначалу отказался немедленно вернуть украденную сумму.

Криптовалютная биржа немедленно обратилась в правоохранительные органы, рассматривая ситуацию как уголовное дело, в то время как фирма по криптографической безопасности настаивает, что это типичная проверка «программы вознаграждений». Сейчас средства вроде бы вернули.

Давайте посмотрим все подробно ниже.

Взлом на 3 миллиона долларов против криптовалютной биржи Kraken: Certik несет ответственность, но отказывается возвращать деньги

Эта история начинается 9 июня 2024 года, когда криптовалютная биржа Kraken получает неофициальное сообщение от «исследователя безопасности», который утверждает, что обнаружил на платформе уязвимость, которая могла стать причиной масштабного взлома.

Как сообщил в своем твиттере Ник Перкоко, директор службы безопасности Kraken, исследователь указал на недостаток в системах безопасности депозитов (неспособность различать различные состояния внутреннего перевода), что позволяет пользователям раздувать свой баланс и вывести больше монет, чем у них есть на самом деле. Биржа немедленно приняла меры по устранению проблемы, и всего за 47 минут команде специалистов удалось исправить ошибку.

Вот что сообщил Percoco:

«Ошибка позволила злоумышленнику при определенных обстоятельствах инициировать депозит на нашей платформе и получить средства на свой счет, не завершив депозит полностью. Чтобы внести ясность: никакие активы клиентов никогда не подвергались риску».

Обновление безопасности Кракена:

9 июня 2024 года мы получили предупреждение программы Bug Bounty от исследователя безопасности. Никаких подробностей изначально не разглашалось, но в их электронном письме утверждалось, что они обнаружили «чрезвычайно критическую» ошибку, которая позволила им искусственно завышать свой баланс на нашей платформе.

– Ник Перкоко (@c7five), 19 июня 2024 г.

Пока все нормально, за исключением того, что та же самая охранная компания web3, где работает исследователь, связавшийся с Kraken, прежде чем официально сообщить об ошибке, провела бы несколько взломов платформы на общую сумму 3 миллиона долларов.

Сразу после публикации поста Percoco известная аудиторская фирма Certik немедленно взяла на себя ответственность за инцидент и раскрыла свою решающую роль в деле.

Certik якобы «проверил» защитные механизмы Kraken, проведя крупномасштабную атаку и сняв большое количество токенов MATIC с трех разных учетных записей, а затем очистив следы средств через миксер Tornado Cash.

 Как пояснил менеджер безопасности биржи, после устранения проблемы Кракен попросил Сертик вернуть средства, но она поначалу отказалась.

Несмотря на это, Certik настаивает, что ее деятельность соответствует принципам «белого хака».

Судя по всему, Сертик не упомянул роль эксплуататора учетной записи 3 в инциденте, несмотря на то, что он провел тесты на вывод средств за 3 дня до общения с Кракеном.

Исследователь безопасности, обнаруживший ошибку, запросил бы значительную награду за обнаружение серьезной уязвимости, которая могла бы привести к серьезному взлому, но Kraken настоял на возврате своих средств.

Поскольку аудиторская компания отказалась возвращать награбленное и действительно попыталась скрыть доказательства взлома, биржа решила отнестись к ситуации как к уголовному делу, уведомив об этом компетентные органы и правоохранительные органы.

Компания по обеспечению безопасности Web3 запросила у биржи вознаграждение, равное сумме, которую, как предполагалось, могла бы вызвать эта ошибка, если бы она не была раскрыта, что привело в ярость команду платформы обмена.

Перкоко прокомментировал в своем профиле X произошедшее, показав все свое несогласие с поведением Сертика:

«Это не белый взлом, это вымогательство».

Мы не будем раскрывать информацию об этой исследовательской компании, потому что они не заслуживают признания своих действий. Мы рассматриваем это как уголовное дело и ведем соответствующее взаимодействие с правоохранительными органами. Мы благодарны, что об этой проблеме сообщили, но на этом эта мысль заканчивается.

– Ник Перкоко (@c7five), 19 июня 2024 г.

Опровержение Certik: средства возвращены, несмотря на то, что некоторые сотрудники получили угрозы от команды Kraken

Certik, представившись компанией, ответственной за выявление недостатков в депозитных системах, сразу опровергла то, что сообщил Kraken, подчеркнув свою роль «белого хакера» и свои позитивные намерения.

Компания сообщила, что организовала крупномасштабный взлом на сумму в 3 миллиона долларов исключительно с целью проверки защиты биржи, но также подчеркнула, что никогда не отказывалась вернуть награбленное, а скорее хотела гарантировать, что все было выполнено правильно.

Сертик сказала, что она была поражена потенциальным негативным воздействием, которое могла вызвать ошибка, но особенно тем фактом, что сигналы тревоги Kraken так и не сработали. Об этом было сказано в сообщении: 

«Миллионы долларов можно положить на ЛЮБОЙ счет Kraken. Огромное количество криптовалюты (на сумму более 1 миллиона долларов США) может быть снято со счета и конвертировано в действительные криптовалюты. Хуже того, в течение многодневного периода тестирования не было активировано ни одного оповещения».

Кроме того, аудиторская фирма пояснила, что член команды по обмену угрожал своему исследователю вернуть сумму в необоснованные сроки (6 часов), не указав, однако, адрес погашения.

Это произошло после того, как через несколько дней после взлома обе компании позвонили, чтобы попытаться найти решение и решить проблему.

CertiK недавно выявила ряд критических уязвимостей на бирже @krakenfx, которые потенциально могут привести к убыткам в сотни миллионов долларов.

Начиная с обнаружения в депозитной системе @krakenfx, где она может не различать разные внутренние… pic.twitter.com/JZkMXj2ZCD

– CertiK (@CertiK) 19 июня 2024 г.

Судя по всему, хаос спровоцировал размер вознаграждения, предложенный Кракеном, который не был сочтен соответствующим приложенным усилиям и предотвращенному потенциальному эксплойту. Как сообщил Coindesk представитель Kraken:

«Мы добросовестно привлекли этих исследователей и, в соответствии с десятилетним опытом управления программой вознаграждения за обнаружение ошибок, предложили значительную награду за их усилия. Мы разочарованы этим опытом и сейчас работаем с правоохранительными органами, чтобы вернуть активы этих исследователей безопасности».

Сегодня Certik опубликовал еще один пост с некоторыми часто задаваемыми вопросами, чтобы дополнительно прояснить свою позицию и устранить любые сомнения.

Охранная компания повторяет, что она «последовательно» подтверждает, что вернет украденную сумму, и заявляет, что теперь все средства снова в руках Кракена.

Эти средства были отправлены обратно отправителю в размере 734,19215 ETH, 29 001 USDT и 1021,1 XMR, в то время как биржа прямо запросила отправить 155818,4468 MATIC, 907400,1803 USDT, 475,5557871 ETH и 1089,794737 XMR, на общую эквивалентную сумму, большую 100 000 долларов .

Вопросы и ответы по недавним операциям CertiK-Kraken whitehat:

1. Потерял ли кто-нибудь из реальных пользователей средства?
Нет. Криптовалюты были созданы из воздуха, и никакие активы реальных пользователей Kraken не принимали непосредственного участия в нашей исследовательской деятельности.

2. Мы отказались вернуть средства?
Нет. В нашем общении с…

– CertiK (@CertiK) 20 июня 2024 г.

Kraken остается твердым в своей этической концепции «белого взлома» и утверждает, что издевательства, осуществляемые Certik, можно квалифицировать как вымогательство.

Программа биржи Bounty действительно требует, чтобы третьи стороны нашли проблему, использовали минимальную сумму, необходимую для тестирования ошибки (без взлома на 3 миллиона долларов), вернули ресурсы и предоставили подробную информацию об уязвимости.