Bu yazıda inanılmaz bir hikayeden bahsediyoruz: Birkaç gün önce denetim şirketi Certik, kripto borsası Kraken'in güvenlik sistemlerinde ciddi bir saldırıya yol açabilecek bir kusur tespit etti.

3 gün boyunca bazı testler yaptıktan ve 3 milyon dolar değerinde bir "beyaz hack" saldırısı gerçekleştirdikten sonra Certik, Kraken ile temasa geçerek hatayı bildirdi ancak başlangıçta çalınan tutarı hemen iade etmeyi reddetti.

Kripto borsası, durumu bir ceza davası olarak değerlendiren kolluk kuvvetleriyle derhal temasa geçerken, kriptografik güvenlik firması bunun tipik bir "ödül programı" testi olduğu konusunda ısrar ediyor. Şimdi para iade edilmiş gibi görünüyor.

Aşağıda her şeyi ayrıntılı olarak görelim.

Kripto borsası Kraken'e yapılan 3 milyon dolarlık hack: Certik sorumlu ama parayı iade etmeyi reddediyor

Bu hikaye, 9 Haziran 2024'te, kripto borsası Kraken'in, platformda büyük ölçekli bir saldırıya neden olabilecek bir güvenlik açığı keşfettiğini iddia eden bir "güvenlik araştırmacısından" resmi olmayan bir iletişim almasıyla başlıyor.

Kraken'in Baş Güvenlik Görevlisi Nick Percoco'nun otopsi tweet'inde bildirildiği gibi araştırmacı, mevduatların güvenlik sistemlerinde (dahili transferin farklı durumlarını ayırt edemeyen) kullanıcıların bakiyelerini şişirmelerine olanak tanıyan bir kusurun altını çizdi. gerçekte mevcut olandan daha fazla parayı çekerler. Borsa, sorunu çözmek için hemen harekete geçti ve uzmanlardan oluşan bir ekip yalnızca 47 dakika içinde hatayı düzeltmeyi başardı.

Percoco'nun aktardığı bilgiler şöyle:

"Bu hata, kötü niyetli bir saldırganın doğru koşullar altında platformumuzda para yatırma işlemi başlatmasına ve para yatırma işlemini tam olarak tamamlamadan hesabına para almasına olanak sağladı. Açık olmak gerekirse, hiçbir müşteri varlığı risk altında değildi”

Kraken Güvenlik Güncellemesi:

9 Haziran 2024'te bir güvenlik araştırmacısından Bug Bounty programı uyarısı aldık. Başlangıçta hiçbir ayrıntı açıklanmadı, ancak e-postaları, platformumuzdaki bakiyelerini yapay olarak şişirmelerine olanak tanıyan "son derece kritik" bir hata bulduğunu iddia etti.

- Nick Percoco (@c7five) 19 Haziran 2024

Şu ana kadar her şey normal, ancak Kraken ile temasa geçen araştırmacının hatayı resmi olarak bildirmeden önce çalıştığı aynı güvenlik şirketi web3'ün platformda toplam 3 milyon dolarlık birkaç hack işlemi gerçekleştirmiş olması dışında.

Percoco'nun paylaşımının yayınlanmasının hemen ardından tanınmış denetim firması Certik, olayın sorumluluğunu hemen üstlendi ve olaydaki kritik rolünü ortaya çıkardı.

Certik'in, büyük ölçekli bir saldırı gerçekleştirerek ve 3 farklı hesaptan büyük miktarlarda MATIC tokeni çekerek ve ardından Tornado Cash mikseri aracılığıyla fonların izlerini temizleyerek Kraken'in savunma mekanizmalarını "test ettiği" iddia ediliyor.

 Borsanın güvenlik yöneticisinin açıkladığı gibi, sorunu çözdükten sonra Kraken, Certik'ten parayı iade etmesini istedi ancak Certik başlangıçta reddetti.

Buna rağmen Certik, faaliyetlerinin “beyaz hack” ilkelerine uygun olduğu konusunda ısrar ediyor.

Görünüşe göre Certik, Kraken ile iletişime geçmeden 3 gün önce para çekme testlerini yapmış olmasına rağmen, olayda 3 hesap istismarcısının rolünden bahsetmemişti.

Hatayı tespit eden güvenlik araştırmacısı, ağır bir hacklemeye yol açabilecek büyük bir kusuru tespit ettiği için önemli bir ödül talep edecekti, ancak Kraken fonlarını geri almakta ısrar etti.

Denetleme şirketi ganimeti iade etmeyi reddettiği ve aslında hack kanıtlarını gizlemek için harekete geçtiği için borsa, yetkili makamları ve kolluk kuvvetlerini bilgilendirerek durumu bir ceza davası gibi ele almaya karar verdi.

Web3 güvenlik şirketi, borsadan, bu hatanın açıklanmaması durumunda ortaya çıkabileceği tahmin edilen miktara eşit bir ödül ödülü talep etmiş ve bu da borsa platformu ekibini çileden çıkarmıştı.

Percoco, yaşananlarla ilgili X profiline yorum yaparak Certik'in davranışlarına tüm karşıtlığını ortaya koydu:

“Bu beyazların hacklenmesi değil, bu gasptır”.

Bu araştırma şirketini açıklamayacağız çünkü eylemleri nedeniyle tanınmayı hak etmiyorlar. Bunu bir ceza davası olarak ele alıyoruz ve buna göre kolluk kuvvetleriyle koordineli çalışıyoruz. Bu sorunun bildirildiği için minnettarız ancak bu düşünce burada bitiyor.

- Nick Percoco (@c7five) 19 Haziran 2024

Certik'in reddi: Bazı çalışanların Kraken ekibinden tehdit almasına rağmen fonlar iade edildi

Certik, kendisini mevduat sistemlerindeki kusuru tespit etmekten sorumlu şirket olarak tanıttıktan sonra, Kraken'in bildirdiği şeyleri hemen yalanlayarak, "beyaz hack" rolünü ve olumlu niyetini vurguladı.

Şirket, yalnızca borsanın savunmasını test etmek amacıyla 3 milyon dolarlık büyük ölçekli bir hack kurduğunu açıkladı ancak aynı zamanda ganimeti iade etmeyi asla reddetmediğini, bunun yerine bunu garanti altına almak istediğini de vurguladı. her şey doğru bir şekilde yürütüldü.

Certik, hatanın neden olabileceği potansiyel olumsuz etkiden, özellikle de Kraken'in alarmlarının hiçbir zaman tetiklenmemesinden etkilendiğini söyledi. Bu bir yazıda şöyle belirtildi: 

“Herhangi bir Kraken hesabına milyonlarca dolar yatırılabilir. Büyük miktarda kripto (değeri 1 milyonun üzerinde USD) hesaptan çekilip geçerli kripto paralara dönüştürülebilir. Daha da kötüsü, birkaç gün süren test süresi boyunca hiçbir uyarı tetiklenmedi”.

Ayrıca denetim firması, değişim ekibinden bir üyenin, kendi araştırmacısını, geri ödeme adresini vermeden, makul olmayan bir zaman dilimi içinde (6 saat) tutarı iade etmesiyle tehdit ettiğini açıkladı.

Bu, hacklemeden günler sonra, iki şirketin bir çözüm bulmaya ve sorunu çözmeye çalışmak için bir telefon görüşmesi yapmasının ardından gerçekleşti.

CertiK kısa süre önce @krakenfx borsasında potansiyel olarak yüz milyonlarca dolarlık kayba yol açabilecek bir dizi kritik güvenlik açığı tespit etti.

@krakenfx'in para yatırma sisteminde farklı dahili para yatırma işlemleri arasında ayrım yapamayabileceği bir bulgudan yola çıkarak… pic.twitter.com/JZkMXj2ZCD

- CertiK (@CertiK) Haziran 19, 2024

Görünüşe göre kaosu tetikleyen şey, Kraken'in önerdiği, gösterilen çabaya uygun görülmeyen ve olası istismarın engellendiği ödül ödülü miktarıydı. Kraken'in bir sözcüsünün Coindesk'e bildirdiği üzere:

"Bu araştırmacıları iyi niyetle dahil ettik ve on yıllık bir hata ödül programını yönetmeye uygun olarak, çabaları karşılığında hatırı sayılır bir ödül teklif etmiştik. Bu deneyim bizi hayal kırıklığına uğrattı ve şu anda bu güvenlik araştırmacılarından varlıkları kurtarmak için kolluk kuvvetleriyle birlikte çalışıyoruz”.

Bugün Certik, konumlarını daha da netleştirmek ve şüpheleri ortadan kaldırmak için bazı SSS'lerin yer aldığı başka bir gönderi yayınladı.

Güvenlik şirketi, çalınan tutarı iade edeceğini "tutarlı bir şekilde" doğruladığını yineledi ve artık tüm fonların Kraken'in elinde olduğunu belirtti.

Bu fonlar göndericiye 734.19215 ETH, 29.001 USDT ve 1021.1 XMR olarak geri gönderilirken borsa, toplam eşdeğer değerin yaklaşık 155818.4468 MATIC, 907400.1803 USDT, 475.5557871 ETH ve 1089.794737 XMR gönderilmesini açıkça talep etti. 100.000 dolar .

CertiK-Kraken'in son beyaz şapka operasyonları hakkında Soru-Cevap:

1. Herhangi bir gerçek kullanıcı fon kaybetti mi?
Hayır. Kripto paralar yayından kaldırıldı ve hiçbir gerçek Kraken kullanıcısının varlığı araştırma faaliyetlerimize doğrudan dahil edilmedi.

2. Parayı iade etmeyi reddettik mi?
Hayır. İletişimimizde…

- CertiK (@CertiK) Haziran 20, 2024

Kraken, "beyaz hackleme" etiği kavramına sadık kalıyor ve Certik tarafından gerçekleştirilen zorbalığın gasp olarak tanımlanabileceğini savunuyor.

Borsanın Bounty programı gerçekten de üçüncü tarafların sorunu bulmasını, hatayı test etmek için gereken minimum miktardan yararlanmasını (3 milyon dolarlık bir hack gerçekleştirmeden), kaynakları iade etmesini ve güvenlik açığıyla ilgili ayrıntıları sağlamasını gerektiriyor.