Kraken против CertiK: кто прав после Exploit Saga за 3 миллиона долларов?

Kraken утверждает, что CertiK был чрезмерным, но фирма по кибербезопасности настаивает, что для определения масштаба проблемы были необходимы крупномасштабные изъятия средств.

На прошлой неделе Kraken объявил, что критическая ошибка позволила исследователям безопасности искусственно завысить свой баланс и вывести почти 3 миллиона долларов.

Обновление безопасности Kraken. 9 июня 2024 года мы получили предупреждение программы Bug Bounty от исследователя безопасности. Никаких подробностей изначально не разглашалось, но в их электронном письме утверждалось, что они обнаружили «чрезвычайно критическую» ошибку, которая позволила им искусственно завышать свой баланс на нашей платформе.

– Ник Перкоко (@c7five), 19 июня 2024 г.

Но во всем этом инциденте было что-то невероятно необычное, и в итоге это спровоцировало словесную войну между криптобиржей и крупной фирмой по кибербезопасности. 

Начальник службы безопасности Kraken Ник Перкоко начал работу с объявления о том, что была обнаружена уязвимость, позволяющая злоумышленникам печатать средства на счете.

На устранение проблемы ушло 47 минут, а на ее полное устранение — несколько часов. Пока что все это кажется вполне нормальным и рутинным.

Но Percoco еще больше обострила ситуацию, заявив, что вовлеченный в дело исследователь безопасности рассказал о проблеме двум своим коллегам, что позволило им присвоить средства компании на миллионы.

Он сказал, что Kraken запросил подробности о том, как был получен эксплойт, и пытался организовать полный возврат средств, но заявил, что обмен был отклонен.

«Вместо этого они потребовали звонка своей команде по развитию бизнеса (то есть своим торговым представителям) и не согласились вернуть какие-либо средства, пока мы не предоставим предполагаемую сумму в долларах, которую могла бы вызвать эта ошибка, если бы они ее не раскрыли. Это не хакерство, это вымогательство!»

Ник Перкоко

Далее Percoco заявила, что исследователи не действовали в духе программы вознаграждений за обнаружение ошибок, поскольку извлекли гораздо больше, чем нужно, не смогли предоставить подтверждение концепции и не вернули деньги немедленно.

Так что же здесь происходит? Был ли это хакер в белой шляпе, пробивающийся на темную сторону? Кто-то хочет выкупить Кракена? Уголовное дело?

Вам также может быть интересно: Как купить монеты до их листинга

CertiK делает шаг вперед

Здесь история принимает необычный поворот. Вы могли бы предположить, что подвиг был организован умным подростком, запертым где-то в своей спальне. На самом деле ее провела компания CertiK — один из крупнейших аудиторов в пространстве Web3.

Всего через три часа после сообщения Percoco на X компания выступила со своей собственной версией событий.

CertiK недавно выявила ряд критических уязвимостей на бирже @krakenfx, которые потенциально могут привести к убыткам в сотни миллионов долларов. Начиная с обнаружения в депозитной системе @krakenfx, где она может не различать различные внутренние… pic.twitter.com/ JZkMXj2ZCD

– CertiK (@CertiK) 19 июня 2024 г.

В нем говорится, что многодневные тесты не выявили никаких красных флажков во внутренних системах Kraken — это означает, что команда безопасности биржи вмешалась только после того, как ей сообщили об ошибке.

«После первоначальных успешных преобразований по выявлению и устранению уязвимости оперативная группа безопасности Kraken УГРОЗИЛА отдельным сотрудникам CertiK выплатить НЕСООТВЕТСТВЕННОЕ количество криптовалюты в НЕОБЫЧНЫЕ сроки, даже БЕЗ предоставления адресов погашения».

СертиК

Далее CertiK призвала Kraken «прекратить любые угрозы в адрес хакеров в белой шляпе».

Днем позже появилась ветка с ответами на вопросы о своем исследовании.

Вопросы и ответы по недавним операциям CertiK-Kraken whitehat: 1. Потерял ли кто-нибудь из реальных пользователей средства? Нет. Криптовалюты были созданы из воздуха, и никакие активы реальных пользователей Kraken не принимали непосредственного участия в нашей исследовательской деятельности. Мы отказались вернуть средства? Нет. В нашем общении с…

– CertiK (@CertiK) 20 июня 2024 г.

Подчеркнув, что ни один из клиентов Kraken не потерял деньги, CertiK подчеркнула, что «постоянно заверяла» компанию, что деньги будут возвращены, и так оно и было. Единственный камень преткновения? Разногласия по поводу суммы фактической задолженности по обмену.

Объясняя, почему компания решила использовать уязвимость в таких масштабах, компания добавила:

«Мы хотим проверить пределы защиты Kraken и контроля рисков. После нескольких тестов в течение нескольких дней и криптовалюты на сумму около трех миллионов, никаких предупреждений не было, и мы до сих пор не выяснили предел».

СертиК

Читая между строк, кажется, что CertiK хотела получить от Кракена ответы о том, какую сумму мог бы получить настоящий мошенник, если бы он продолжал действовать.

Фирма, занимающаяся кибербезопасностью, заявила, что вознаграждение за обнаружение ошибок не входит в список ее приоритетов, а все транзакции, связанные с ее тестами, стали достоянием общественности. 

Всемогущая война слов

На X было немало разногласий по поводу того, кто прав, а кто нет.

Реальный вопрос должен заключаться в том, почему вы использовали непристойную сумму в рамках своего тестирования в роли, где доверие является наиболее важным элементом. Возьмите букву L и перестаньте писать в Твиттере без юридической консультации.

– См. $LSS BULL (@crypto_seeb) 19 июня 2024 г.

3 миллиона долларов — это копейки по сравнению с масштабами потенциального банкротства. Double L от Kraken превратил это в публичную проблему вместо того, чтобы просто поблагодарить бога, аноны не воспользовались этим.

— Everhusk (@everhusk) 19 июня 2024 г.

Аргумент CertiK сводится к следующему: ей необходимо было произвести астрономически большие выводы средств, чтобы проверить, будет ли какое-либо из них в конечном итоге отмечено внутренними системами Kraken.

Ссора, которая теперь, кажется, разрешилась на первый взгляд, подчеркивает некоторую напряженность между предприятиями в криптопространстве и исследователями кибербезопасности, которым поручено держать их под контролем.

Необходимо ли достичь большего согласия по поводу правил взаимодействия? Существуют ли когда-нибудь случаи, когда крупномасштабные атаки хакеров в белой шляпе оправданы, поскольку они могут предотвратить что-то более катастрофическое в будущем? 

Если бы это произошло с сетью Ronin Network, которая помогла предотвратить одно из величайших крипто-ограблений всех времен, в результате которого было украдено 625 миллионов долларов, вы, вероятно, стали бы утверждать, что временная кража нескольких миллионов долларов была бы оправдана.

Независимо от того, как вы на это смотрите, этот инцидент является болезненным напоминанием о том, что на крупных биржах могут быть ошибки, которые еще предстоит обнаружить, что представляет риск для обычных инвесторов, которые используют эти торговые платформы для хранения своих средств.

Вам также может быть интересно: Может ли криптоиндустрия доверять Трампу?