Uzmanlar CertiK'in 3 milyon dolarlık Kraken saldırısına kafa yoruyor: 'Bu çok aptalca'

Kripto denetçisi CertiK Çarşamba günü yaptığı açıklamada, çalışanlarının ABD borsası Kraken'de 3 milyon dolarlık bir hata keşfettiğini ve bundan yararlandığını söylediğinde kaşları kalktı.

CertiK daha sonra fonları beyaz şapka operasyonunun bir parçası olarak ABD borsasına iade ettiğini söylediğinde, firma özellikle öfkeli bir oyuncu olan Kraken'in muhalefetiyle sarsıldı.

“Bu beyaz şapkalı bilgisayar korsanlığı değil, gasptır!” Kraken'in baş güvenlik görevlisi Nick Percoco Çarşamba günü bir X gönderisinde şunları söyledi.

Percoco, hatayı bulanların Kraken bunun ne kadar hasara yol açabileceğini açıklayana kadar herhangi bir parayı iade etmeyeceklerini söylediğini söyledi.

CertiK'in Kraken'in açıklamalarına cevap vermesi uzun sürmedi. "Bizi kamuoyu önünde hırsızlıkla suçladılar ve hatta çalışanlarımızı doğrudan tehdit ettiler ki bu kesinlikle kabul edilemez."

CertiK'in istismarının olağandışı süresi ve 3 milyon dolarlık büyüklüğü birçok soruyu ateşledi. Beyaz şapkalı siber savunma testleri genellikle güvenlik açığını göstermek için minimum miktarda para toplar.

Rakip denetim firması OpenZeppelin'in çözüm başkanı Michael Lewellen, DL News'e "Bu, beyaz şapkalı bir istismarın yararına alınacak inanılmaz bir miktar" dedi.

Lewellen, güvenlik araştırmacılarının bu tür davranışlar nedeniyle kovulduğunu söyledi.

"Başka bir saygın denetim firmasındaki bir güvenlik araştırmacısı bu tür bir istismarda bulunursa derhal kovulur ve sahiplenilmez" dedi.

"Ekibi uyaracak vaktinizin olmadığı acil bir tehlike olmadığı sürece asla bir müşteriden para çalmazsınız ve o zaman bile birçok denetim firmasının bu nedenlerden dolayı üstlenmemeyi tercih ettiği büyük bir riske girersiniz."

'Bir şeyin yanlış olduğunu fark ettiğiniz anda kullanıcıların güvenliğine ulaşmalısınız.'

Pascal Caversaccio, güvenlik araştırmacısı

Bağımsız güvenlik araştırmacısı Pascal Caversaccio, CertiK'in Kraken'in sistemi üzerindeki testinin günlerce sürmesinin tuhaf olduğunu söyledi. Dakikalar içinde çözülmesi gerekiyordu.

DL News'e "Bir şeyin yanlış olduğunu fark ettiğiniz anda kullanıcıların güvenliğine ulaşmalısınız" dedi. "Bu çok aptalca. Yalnızca güvenlik açısından değil, aynı zamanda iş açısından da.”

Başka anormallikler de var.

Zincir içi kayıtlar, CertiK bağlantılı bir adresin, ABD Hazine Bakanlığı Yabancı Varlıklar Kontrol Ofisi (OFAC) tarafından onaylanan DeFi protokolü Tornado Cash'e para gönderdiğini gösteriyor.

Tornado Cash açısı

Her ne kadar CertiK varlıkları Kraken'e iade etse de, bunların bir kısmını Tornado Cash aracılığıyla göndermek ABD yaptırımlarını ihlal edebilir. OFAC'ın internet sitesine göre, bunu yapmanın cezası birkaç milyon doları aşabilir.

Lewellen, Tornado Cash'i beyaz şapkalı hackleme için kullanmanın tuhaf olduğunu söyledi.

"Özellikle yaptırım riski göz önüne alındığında, beyaz şapkalı birinin Tornado Cash'i kullandığını hiç duymadım" dedi. "Halihazırda bir suç işlemediğiniz ve yaptırımları ihlal etme riskiniz ağır basmadığı sürece genellikle Tornado Cash'i yaptırım sonrası kullanmıyorsunuz."

CertiK'in Kraken'den çektiği fonların diğer kısımları, müşterilerinizi tanıyın çekleri gerektirmeyen bir kripto borsası olan ChangeNOW'a gönderildi. CertiK ayrıca Kraken'den çektiği USDT stabilcoin'lerini ETH ile takas etti.

Kripto güvenlik uzmanı Taylor Monahan, X'te "Beyaz şapkalıysanız bunu yapmazsınız" dedi.

CertiK, yorum talebine hemen yanıt vermedi ve bu işlemleri kamuya açık bir şekilde ele almadı.

Tim Craig, DL News'te DeFi Muhabiridir. Bir ipucu var mı? Kendisine tim@dlnews.com adresinden e-posta gönderin.