CertiK Clears the Air on Ethical Hacking Practices, Kraken Confirms Full Fund Return

CoinFea · 2024-06-21T10:53:01.000Z

CertiK, a leader in smart contract security, has released a statement countering previous allegations from the cryptocurrency exchange Kraken. It insists its actions were ethically sound and focused on identifying security vulnerabilities. The firm affirmed that it had returned all funds extracted during the test and denied any extortion or demand for a bounty. This announcement comes amidst the firm’s ongoing efforts to enhance blockchain security through rigorous testing and auditing. Detailed test procedures and fund recovery CertiK’s recent clarification highlights that the operation was meant to uncover potential security lapses that could allow the unauthorized creation of funds within user accounts. Throughout the testing phase, CertiK could withdraw funds only from Kraken’s cold wallets, ensuring no user assets were compromised. The returned assets were meticulously calculated based on detailed transaction logs maintained by CertiK. Q&A to recent CertiK-Kraken whitehat operations: 1. Did any real user lose fund？No. Cryptos were minted out of air, and no real Kraken user’s assets were directly involved in our research activities.2. Have we refused to return the funds?No. In our communication with… — CertiK (@CertiK) June 20, 2024 CertiK also acknowledged transferring minor sums to Tornado Cash—a coin mixer previously sanctioned by the U.S. Treasury—to demonstrate the exploit’s potential. This testing method was part of CertiK’s broader strategy to expose vulnerabilities similar to those found in other smart contracts that have led to significant security breaches. Transparency and ethical considerations Despite the speculative nature of its testing methods, which included public leaks of specific procedures on social media, CertiK remains steadfast that its primary objective was the remediation of the flaw rather than financial gain. The issue of a bounty was explicitly addressed, with CertiK stating that their actions were not motivated by monetary rewards. Kraken’s security team has yet to announce any bug bounty related to this incident, reinforcing CertiK’s claims of ethical conduct. Update: We can now confirm the funds have been returned (minus a small amount lost to fees). https://t.co/cHkjPt3m2A — Nick Percoco (@c7five) June 20, 2024 Kraken initially disputed the accuracy of the funds returned, particularly highlighting an alleged discrepancy involving 155,818.44 MATIC tokens. However, Nick Percoco, Kraken’s Chief Security Officer, quickly clarified this, later confirming that all funds were returned, less transaction fees. This resolution underscored the challenges in accurately assessing and managing withdrawals during security tests, particularly those involving large sums and multiple cryptocurrencies like ETH, USDT, and XMR. Operational risks and resilience of tornado cash Despite facing operational challenges and sanctions that limit its use within the U.S., Tornado Cash continues to function, facilitating the anonymity of cryptocurrency transactions. This persists even as notable cryptocurrencies like USDC have moved to blacklist interactions with Tornado Cash contracts, effectively freezing transferred funds. #Certik : At first glance, it seems that Certik's exploit consists of:1. Creating a contract & depositing funds into it2. Generating the LogFeeTransfer() event3. @krakenfx scans LogFeeTransfer() on its deposit addresses and doesn't seem to verify if the MATIC are really there pic.twitter.com/QI4bdXJdbz — Naïm Boubziz (@BrutalTrade) June 20, 2024 This scenario highlights the ongoing struggle between ensuring operational security and adhering to regulatory standards, especially as digital currencies and their associated platforms become increasingly mainstream. CertiK’s latest tests and subsequent clarifications are critical reminders of the sophisticated nature of blockchain exploits and the continuous need for vigilant security practices in the cryptocurrency industry. As the sector evolves, ethical hacking and exchanges’ responses will play pivotal roles in shaping the security landscape. The post CertiK Clears the Air on Ethical Hacking Practices, Kraken Confirms Full Fund Return first appeared on Coinfea.

CertiK, лидер в области безопасности смарт-контрактов, опубликовал заявление, опровергающее предыдущие обвинения со стороны криптовалютной биржи Kraken. Он настаивает, что его действия были этически обоснованными и были сосредоточены на выявлении уязвимостей безопасности. 
Фирма подтвердила, что вернула все средства, полученные в ходе теста, и отрицает какое-либо вымогательство или требование вознаграждения. Это объявление сделано на фоне постоянных усилий компании по повышению безопасности блокчейна посредством тщательного тестирования и аудита.
Подробные процедуры тестирования и возмещение средств
В недавнем разъяснении CertiK подчеркивается, что операция была призвана выявить потенциальные бреши в системе безопасности, которые могли позволить несанкционированное создание средств на учетных записях пользователей. На этапе тестирования CertiK могла выводить средства только с холодных кошельков Kraken, гарантируя, что никакие пользовательские активы не будут скомпрометированы. Возвращенные активы были тщательно рассчитаны на основе подробных журналов транзакций, которые ведет CertiK.
Вопросы и ответы по недавним операциям CertiK-Kraken whitehat: 1. Потерял ли кто-нибудь реальный пользователь средства? Нет. Криптовалюты были созданы из воздуха, и никакие активы реальных пользователей Kraken не принимали непосредственного участия в нашей исследовательской деятельности. Мы отказались вернуть средства? Нет. В нашем общении с…
– CertiK (@CertiK) 20 июня 2024 г.
CertiK также признал, что переводил небольшие суммы в Tornado Cash — миксер монет, ранее находившийся под санкциями Министерства финансов США — чтобы продемонстрировать потенциал эксплойта. Этот метод тестирования был частью более широкой стратегии CertiK по выявлению уязвимостей, аналогичных тем, которые обнаружены в других смарт-контрактах, которые привели к серьезным нарушениям безопасности.
Прозрачность и этические соображения
Несмотря на спекулятивный характер своих методов тестирования, которые включали в себя публичные утечки конкретных процедур в социальных сетях, CertiK твердо уверена, что ее основной целью было устранение ошибки, а не финансовая выгода. 
Вопрос о вознаграждении был прямо затронут: CertiK заявила, что их действия не были мотивированы денежным вознаграждением. Команда безопасности Kraken еще не объявила о вознаграждении за обнаружение ошибок, связанных с этим инцидентом, что подтверждает заявления CertiK об этическом поведении.
Обновление: теперь мы можем подтвердить, что средства были возвращены (за вычетом небольшой суммы, потерянной из-за комиссий). https://t.co/cHkjPt3m2A
– Ник Перкоко (@c7five), 20 июня 2024 г.
Первоначально Kraken оспаривал точность возвращенных средств, в частности, подчеркивая предполагаемое несоответствие, касающееся 155 818,44 токенов MATIC. Однако Ник Перкоко, директор по безопасности Kraken, быстро прояснил это, позже подтвердив, что все средства были возвращены за вычетом комиссий за транзакции. Эта резолюция подчеркнула проблемы с точной оценкой и управлением снятием средств во время тестов безопасности, особенно тех, которые связаны с большими суммами и несколькими криптовалютами, такими как ETH, USDT и XMR.
Операционные риски и устойчивость торнадо-наличных
Несмотря на операционные проблемы и санкции, которые ограничивают его использование в США, Tornado Cash продолжает функционировать, обеспечивая анонимность транзакций с криптовалютой. Это сохраняется даже несмотря на то, что известные криптовалюты, такие как USDC, перешли в черный список взаимодействия с контрактами Tornado Cash, фактически заморозив переведенные средства. 
#Certik : На первый взгляд кажется, что эксплойт Certik состоит из:1. Создание контракта и внесение в него средств2. Генерация события LogFeeTransfer()3. @krakenfx сканирует LogFeeTransfer() на своих депозитных адресах и, похоже, не проверяет, действительно ли там находятся MATIC pic.twitter.com/QI4bdXJdbz
– Наим Бубзиз (@BrutalTrade) 20 июня 2024 г.
Этот сценарий подчеркивает продолжающуюся борьбу между обеспечением операционной безопасности и соблюдением нормативных стандартов, особенно по мере того, как цифровые валюты и связанные с ними платформы становятся все более распространенными.
Последние тесты CertiK и последующие разъяснения являются важным напоминанием о сложной природе эксплойтов блокчейна и постоянной необходимости бдительных мер безопасности в криптовалютной индустрии. По мере развития сектора этический взлом и реакция бирж будут играть ключевую роль в формировании ландшафта безопасности.
Сообщение CertiK проясняет ситуацию в отношении этических хакерских практик, Kraken подтверждает полный возврат средств впервые появился на Coinfea.

CertiK проясняет ситуацию в отношении этических хакерских практик, Kraken подтверждает полный возврат средств

Другие публикации автора

Последние новости

CertiK проясняет ситуацию в отношении этических хакерских практик, Kraken подтверждает полный возврат средств

Другие публикации автора

Последние новости

Популярные статьи