Kripto para borsası Kraken, beyaz şapkalı hack'lerini gölgede bırakan gasp iddialarının ardından 20 Haziran'da blockchain güvenlik şirketi CertiK'ten yaklaşık 3 milyon dolarlık dijital varlığın kurtarıldığını doğruladı.
Kraken'in Baş Güvenlik Görevlisi Nick Percoco, işlem ücretlerine harcanan tutar düşüldükten sonra fonların iadesini duyurmak için X'e gitti.
Güncelleme: Artık paranın iade edildiğini doğrulayabiliriz (ücretlerden dolayı kaybedilen küçük bir miktar hariç). https://t.co/cHkjPt3m2A
- Nick Percoco (@c7five) 20 Haziran 2024
Kraken'in CSO'su, 19 Haziran'da ilk kez 3 milyon dolarlık kayıp fonu bildirmiş ve bir "güvenlik araştırmacısının" var olan bir hatayı keşfedip ifşa etmesinin ardından bu fonları kötü niyetle hazineden çektiğini belirtmişti.
Kraken, güvenlik araştırmacısının kendilerinden gasp ettiğini, parayı iade etmeyi reddettiğini ve borsanın iş geliştirme ekibiyle bir görüşme yapmasının yanı sıra bir ödül talep ettiğini iddia etti.
CertiK İddiaları Açıklıyor
Kraken'in kayıp fonlarla ilgili paylaşımından kısa bir süre sonra, blockchain güvenlik firması CertiK, Kraken'in 3 milyon dolar değerinde dijital varlık çaldığını iddia ettiği "güvenlik araştırmacısı" olarak kendini kamuoyuna açıkladı.
Bu, iddiaları çürütmek ve kötü niyet iddialarını ortadan kaldırmak amacıyla yapıldı.
CertiK, 19 Haziran tarihli bir X gönderisinde, Kraken'ı borsanın hesaplarından milyonlarca dolar çekmesine izin veren bir açıktan haberdar ettiğini söyledi. CertiK ayrıca borsanın ekibi tarafından tehdit edildiğini iddia etti.
CertiK, "Güvenlik açığını tespit edip düzeltme konusunda ilk başarılı dönüşümlerin ardından, Kraken'in güvenlik operasyon ekibi, ödeme adresleri sağlanmadan bile, MAKUL OLMAYAN bir sürede, uyumsuz miktarda kripto parayı geri ödemekle bireysel CertiK çalışanlarını TEHDİT ETTİ" dedi.
CertiK, hikayenin kendi tarafını netleştirmek için, 5 Haziran'da istismarın tanımlanmasıyla başlayarak tüm söylemi kapsayan bir olay zaman çizelgesi de yayınladı.
Olayların Zaman Çizelgesi
3 Milyon Doları Neden Çektiler?
Kraken'in CSO'su, başlangıçta yalnızca 4 dolar değerindeki ilk kötü amaçlı transferin, hatayı kanıtlamak ve Kraken'in ödül programından "önemli ödüller" kazanmak için yeterli olacağını belirtti.
Daha sonra CertiK olduğu ortaya çıkan güvenlik araştırmacısının Kraken hesaplarına yaklaşık 3 milyon dolar aktardığı belirtildi.
3 milyon doların iade edilmesinin ardından bir X gönderisinde CertiK, durumla ilgili birçok önemli soruyu yanıtladı. En önemlisi, büyük meblağın gerekçesini açıkladılar.
CertiK, "Kraken'in koruma ve risk kontrollerinin sınırını test etmek istiyoruz," dedi. "Birden fazla gün boyunca yapılan birden fazla test ve yaklaşık 3 milyon dolar değerinde kriptodan sonra hiçbir uyarı tetiklenmedi ve hala sınırı çözemedik."
Son CertiK-Kraken whitehat operasyonlarına ilişkin soru-cevap:
1. Herhangi bir gerçek kullanıcı fon kaybetti mi? Hayır. Kriptolar havadan basıldı ve hiçbir gerçek Kraken kullanıcısının varlıkları doğrudan araştırma faaliyetlerimize dahil olmadı.
2. Parayı iade etmeyi reddettik mi? Hayır. İletişimimizde…
— CertiK (@CertiK) 20 Haziran 2024
Ayrıca CertiK, olaya bir ödül getirme niyetlerinin olmadığını, bunun görüşmede bahsedilen bir şey olduğunu iddia ediyor.
CertiK, "Hiçbir zaman ödül talebinden bahsetmedik," dedi. "Bize ödüllerinden ilk bahseden Kraken oldu, biz de ödülün öncelikli konu olmadığını ve sorunun çözüldüğünden emin olmak istediğimizi söyledik."
CertiK, çabalarının hiçbir Kraken kullanıcısının pahasına olmadığını vurguladı. Fonlar "havadan basıldı."
İddia edilen masumiyetlerine rağmen, durum etik bilgisayar korsanlığının doğası, uygun iletişim protokolleri ve keşfedilen güvenlik açıklarının uygun şekilde ele alınması konusunda tartışmaları ateşledi.
