Binance Square'de Kraken V CertiK: Who’s in the Right After $3m Exploit Saga?

CryptoNews · 2024-06-26T10:53:03.000Z

Kraken argues that CertiK was excessive — but the cybersecurity firm insists large-scale withdrawals were necessary to ascertain the scale of the problem. Last week, Kraken announced that a critical bug had enabled security researchers to artificially inflate their balance — and withdraw almost $3 million. Kraken Security Update:On June 9 2024, we received a Bug Bounty program alert from a security researcher. No specifics were initially disclosed, but their email claimed to find an “extremely critical” bug that allowed them to artificially inflate their balance on our platform. — Nick Percoco (@c7five) June 19, 2024 But there was something incredibly unusual about the whole incident, and it ended up sparking a war of words between the crypto exchange and a major cybersecurity firm. Kraken’s chief security officer Nick Percoco kicked things off by announcing that a flaw had been found that allowed malicious actors to print funds in an account. It had taken 47 minutes to mitigate the issue, and a few hours to completely fix. So far, all of this seems pretty normal and routine. But Percoco escalated things further by claiming that the security researcher involved had told two of their colleagues about the issue, enabling them to take company funds worth millions. He said Kraken had asked for details about how the exploit was achieved and had sought to arrange for funds to be returned in full, but alleged that the exchange was rebuffed. “Instead, they demanded a call with their business development team (i.e. their sales reps) and have not agreed to return any funds until we provide a speculated $ amount that this bug could have caused if they had not disclosed it. This is not white-hat hacking, it is extortion!” Nick Percoco Percoco went on to claim that the researchers hadn’t worked within the spirit of the bug bounty program because they extracted far more than they needed to, failed to provide a proof of concept, and didn’t return the cash immediately. So what was going on here? Was this a white hat hacker making their way to the dark side? Someone holding Kraken to ransom? A criminal matter? You might also like: How to buy coins before they list CertiK steps forward This is where the story takes an unusual turn. You might have assumed that the exploit was orchestrated by a bright teenager locked away in their bedroom somewhere. In actual fact, it was carried out by CertiK — one of the biggest auditors in the Web3 space. Just three hours after Percoco’s thread on X, the company stepped forward with its own version of events. CertiK recently identified a series of critical vulnerabilities in @krakenfx exchange which could potentially lead to hundreds of millions of dollars in losses.Starting from a finding in @krakenfx's deposit system where it may fail to differentiate between different internal… pic.twitter.com/JZkMXj2ZCD — CertiK (@CertiK) June 19, 2024 It said days upon days of tests had failed to throw up any red flags in Kraken’s internal systems — meaning the exchange’s security team only intervened after being told about the flaw. “After initial successful conversions on identifying and fixing the vulnerability, Kraken’s security operation team has THREATENED individual CertiK employees to repay a MISMATCHED amount of crypto in an UNREASONABLE time even WITHOUT providing repayment addresses.” CertiK CertiK went on to urge Kraken “to cease any threats against white hat hackers.” A day later, it followed up with a thread answering questions about its research. Q&A to recent CertiK-Kraken whitehat operations: 1. Did any real user lose fund？No. Cryptos were minted out of air, and no real Kraken user’s assets were directly involved in our research activities.2. Have we refused to return the funds?No. In our communication with… — CertiK (@CertiK) June 20, 2024 As well as stressing that no Kraken customers ended up losing money, CertiK stressed it had “consistently assured” the company that the money would be returned, and it was. The only sticking point? Disagreement over how much the exchange was actually owed. In explaining why it chose to exploit the flaw on such a large scale, the company added: “We want to test the limit of Kraken’s protection and risk controls. After multiple tests across multiple days and close to three millions worth of crypto, no alerts were triggered and we still haven’t figured out the limit.” CertiK Reading between the lines, and it seems CertiK wanted answers from Kraken on how much a genuine fraudster could have ended up walking away with if they kept on going. The cybersecurity firm went on to argue that a bug bounty was far down its list of priorities — and all transactions associated with its tests had entered the public domain. An almighty war of words On X, there’s been a fair bit of disagreement over who’s in the right and who’s in the wrong. The real question should be why you exploited an obscene amount as part of your testing in a role where trust is the most crucial element. Take the L and stop tweeting without legal advice. — Seeb $LSS BULL (@crypto_seeb) June 19, 2024 $3m is peanuts compared to the magnitude of a potential bankruptcy hack. Double L by Kraken making it into a public issue instead of just thanking god anons didn't exploit it. — everhusk (@everhusk) June 19, 2024 CertiK’s argument boils down to this: it needed to make astronomically large withdrawals to test whether any of them would end up being flagged by Kraken’s internal systems. The spat, which now appears to have been resolved on the surface, highlights some of the tension between businesses in the crypto space — and the cybersecurity researchers tasked with keeping them in check. Does there need to be greater agreement on the rules of engagement? Are there ever instances where large-scale exploits by white hat hackers are justified, as it could prevent something more calamitous happening at a later date? If this had happened to the Ronin Network — helping prevent one of the greatest crypto heists of all time that led to $625 million being stolen — you’d probably argue that the temporary theft of a few million dollars would be warranted. No matter how you look at it, this incident is a painful reminder that major exchanges could have bugs that are yet to be uncovered, posing a risk to the everyday investors who use these trading platforms to store their funds. You might also like: Can the crypto industry trust Trump?

Kraken, CertiK'in aşırı olduğunu savunuyor ancak siber güvenlik firması, sorunun boyutunu tespit etmek için büyük ölçekli para çekme işlemlerinin gerekli olduğu konusunda ısrar ediyor.
Geçen hafta Kraken, kritik bir hatanın güvenlik araştırmacılarının bakiyelerini yapay olarak şişirmelerine ve neredeyse 3 milyon dolar çekmelerine olanak sağladığını duyurdu.
Kraken Güvenlik Güncellemesi: 9 Haziran 2024'te bir güvenlik araştırmacısından bir Bug Bounty programı uyarısı aldık. Başlangıçta hiçbir ayrıntı açıklanmadı, ancak e-postaları, platformumuzdaki bakiyelerini yapay olarak şişirmelerine olanak tanıyan "son derece kritik" bir hata bulduğunu iddia etti.
- Nick Percoco (@c7five) 19 Haziran 2024
Ancak tüm olayda inanılmaz derecede sıra dışı bir şey vardı ve bu olay, kripto borsası ile büyük bir siber güvenlik firması arasında bir söz savaşının alevlenmesine neden oldu. 
Kraken'in baş güvenlik görevlisi Nick Percoco, kötü niyetli kişilerin bir hesapta para basmasına izin veren bir kusur bulunduğunu açıklayarak işleri başlattı.
Sorunu hafifletmek 47 dakika, tamamen düzeltmek ise birkaç saat sürmüştü. Buraya kadar her şey oldukça normal ve rutin görünüyor.
Ancak Percoco, olaya karışan güvenlik araştırmacısının iki meslektaşına konuyu anlattığını ve onların milyonlarca dolarlık şirket fonunu almalarına olanak sağladığını iddia ederek işleri daha da kızıştırdı.
Kraken'in istismarın nasıl gerçekleştirildiğine ilişkin ayrıntıları istediğini ve fonların tamamının iade edilmesini ayarlamaya çalıştığını ancak takasın reddedildiğini iddia ettiğini söyledi.
"Bunun yerine, iş geliştirme ekipleriyle (yani satış temsilcileriyle) bir görüşme talep ettiler ve biz bu hatanın, eğer onlar bunu açıklamasaydı neden olabileceği tahmin edilen $ tutarını sağlayana kadar herhangi bir parayı iade etmeyi kabul etmediler. Bu beyaz şapkalı bilgisayar korsanlığı değil, gasptır!”
Nick Percoco
Percoco, araştırmacıların ihtiyaç duyduklarından çok daha fazlasını çıkardıkları, kavram kanıtını sağlayamadıkları ve parayı hemen iade etmedikleri için böcek ödül programının ruhuna uygun şekilde çalışmadıklarını iddia etti.
Peki burada neler oluyordu? Bu, karanlık tarafa doğru yol alan beyaz şapkalı bir hacker mıydı? Biri Kraken'i fidye için mi tutuyor? Cezai bir konu mu?
Şunlar da hoşunuza gidebilir: Listelenmeden önce madeni paralar nasıl satın alınır?
CertiK öne çıkıyor
Hikayenin alışılmadık bir hal aldığı yer burası. Bu istismarın, yatak odalarının bir yerinde kilitli duran zeki bir genç tarafından planlandığını varsaymış olabilirsiniz. Aslında bu, Web3 alanındaki en büyük denetçilerden biri olan CertiK tarafından gerçekleştirildi.
Percoco'nun X hakkındaki konuşmasından sadece üç saat sonra şirket, kendi olay versiyonunu öne sürdü.
CertiK yakın zamanda @krakenfx borsasında potansiyel olarak yüz milyonlarca dolar kayba yol açabilecek bir dizi kritik güvenlik açığı tespit etti. @krakenfx'in mevduat sisteminde farklı dahili borsalar arasında ayrım yapamayabileceği bir bulgudan yola çıkarak… pic.twitter.com/ JZkMXj2ZCD
- CertiK (@CertiK) Haziran 19, 2024
Günlerce süren testlerin Kraken'in iç sistemlerinde herhangi bir kırmızı bayrak ortaya çıkarmada başarısız olduğunu söyledi; bu da borsanın güvenlik ekibinin ancak kusur hakkında bilgilendirildikten sonra müdahale ettiği anlamına geliyor.
“Güvenlik açığının belirlenmesi ve düzeltilmesine yönelik ilk başarılı dönüşümlerin ardından, Kraken'in güvenlik operasyon ekibi, bireysel CertiK çalışanlarını, geri ödeme adresleri sağlamadan bile YANLIŞ EŞLEŞMEMİŞ bir miktardaki kripto parayı MAKUL OLMAYAN bir sürede geri ödemeleri konusunda TEHDİT etti.”
 Sertifika
CertiK, Kraken'i "beyaz şapkalı bilgisayar korsanlarına yönelik her türlü tehdidi durdurmaya" çağırmaya devam etti.
Bir gün sonra, araştırmasıyla ilgili soruları yanıtlayan bir başlık açıldı.
Son CertiK-Kraken beyaz şapka operasyonları hakkında Soru-Cevap: 1. Herhangi bir gerçek kullanıcı fon kaybetti mi？Hayır. Kripto paralar yayından kaldırıldı ve hiçbir gerçek Kraken kullanıcısının varlığı doğrudan araştırma faaliyetlerimize dahil edilmedi.2. Parayı iade etmeyi reddettik mi? Hayır. İletişimimizde…
- CertiK (@CertiK) Haziran 20, 2024
Hiçbir Kraken müşterisinin para kaybetmediğini vurgulayan CertiK, şirkete paranın iade edileceğine dair "sürekli güvence verdiğini" ve öyle olduğunu da vurguladı. Tek anlaşmazlık noktası mı? Borsanın gerçekte ne kadar borçlu olduğu konusunda anlaşmazlık.
Şirket, kusurdan neden bu kadar büyük ölçekte yararlanmayı seçtiğini açıklarken şunları ekledi:
“Kraken'in koruma ve risk kontrollerinin sınırlarını test etmek istiyoruz. Birkaç gün süren çok sayıda testten ve üç milyona yakın değerde kripto paradan sonra hiçbir uyarı tetiklenmedi ve hâlâ limiti çözemedik.”
Sertifika
Satır aralarını okuyunca, CertiK'in Kraken'den, gerçek bir dolandırıcının devam etmesi durumunda ne kadar çok şey elde edebileceği konusunda yanıtlar istediği anlaşılıyor.
Siber güvenlik firması, hata ödülünün öncelikler listesinin çok aşağılarında yer aldığını ve testleriyle ilgili tüm işlemlerin kamuya açık hale geldiğini öne sürdü. 
Yüce bir kelime savaşı
X konusunda kimin haklı kimin haksız olduğu konusunda epey bir anlaşmazlık var.
Asıl soru, güvenin en önemli unsur olduğu bir görevde testinizin bir parçası olarak neden müstehcen bir miktardan yararlandığınız olmalıdır. L'yi alın ve yasal tavsiye olmadan tweet atmayı bırakın.
- Bkz. $LSS BULL (@crypto_seeb) 19 Haziran 2024
Potansiyel bir iflas saldırısının büyüklüğüyle karşılaştırıldığında 3 milyon dolar yer fıstığıdır. Kraken'in Double L'si, tanrıya şükretmek yerine bunu kamuya açık bir sorun haline getirdi ve anons bunu istismar etmedi.
- everhusk (@everhusk) Haziran 19, 2024
CertiK'in argümanı şuna dayanıyor: Bunlardan herhangi birinin Kraken'in iç sistemleri tarafından işaretlenip işaretlenmeyeceğini test etmek için astronomik derecede büyük para çekme işlemleri yapması gerekiyordu.
Artık yüzeysel olarak çözülmüş gibi görünen tartışma, kripto alanındaki işletmeler ile onları kontrol altında tutmakla görevli siber güvenlik araştırmacıları arasındaki gerilimin bir kısmını ortaya koyuyor.
Angajman kuralları konusunda daha büyük bir anlaşmaya varılması gerekiyor mu? Daha sonraki bir tarihte daha vahim bir olayın yaşanmasını önleyebileceği için beyaz şapkalı bilgisayar korsanlarının büyük ölçekli istismarlarının haklı olduğu durumlar var mı? 
Eğer bu, 625 milyon doların çalınmasına yol açan tüm zamanların en büyük kripto soygunlarından birinin önlenmesine yardımcı olan Ronin Ağı'nın başına gelseydi, muhtemelen birkaç milyon dolarlık geçici hırsızlığın garanti altına alınacağını iddia ederdiniz.
Nasıl bakarsanız bakın, bu olay, büyük borsalarda henüz ortaya çıkarılmamış hatalar olabileceğinin ve fonlarını depolamak için bu ticaret platformlarını kullanan sıradan yatırımcılar için risk teşkil edebileceğinin acı verici bir hatırlatıcısıdır.
Şunlar da hoşunuza gidebilir: Kripto endüstrisi Trump'a güvenebilir mi?

Kraken V CertiK: 3 Milyon Dolarlık Exploit Saga'nın Ardından Kim Sağda?

İçerik Üreticisinden Daha Fazla İçerik Keşfedin

En Son Haberler