Коли минулого місяця Нік Перкоко, головний офіцер служби безпеки Kraken, дізнався, що біржу зламали на 3 мільйони доларів, він летів на висоті 40 000 футів на шляху до заслуженої відпустки.

Але замість того, щоб розслабитися в Японії, Percoco довелося втрутитися в пролом і допомогти впоратися з однією з найгірших криз безпеки, яка вразила сьому за величиною криптобіржу в світі.

«Я випадково отримав доступ до Wi-Fi під час польоту», — сказав Перкоко DL News. «Я в останню хвилину спілкувався з людьми на роботі, читав новини в Twitter. І побачив це, а потім скерував їх на винагороду за помилок».

19 червня Kraken виявив, що незалежний дослідник безпеки повідомив про критичну вразливість у програмі винагороди за помилки біржі.

Ці програми пропонують зловмисникам гроші в обмін на виявлення вразливостей у проектах.

Ця конкретна слабкість дозволила досліднику зараховувати гроші на їхні рахунки Kraken за бажанням. Вишукач працював на CertiK, фірму з безпеки та криптоаудиту, яка заявила, що виявила цю вразливість.

За словами Перкоко, протягом п’яти днів CertiK вивела з біржі 3 мільйони доларів у криптовалютах.

Це дуже незвично. За словами Перкоко, охоронні фірми не повинні використовувати вразливість так довго і за такі великі гроші.

Зрештою кошти повернули, а помилку виправили за 47 хвилин. Тим не менш, це був приголомшливий епізод, навіть за стандартами криптовалюти.

Це було масове порушення роботи однієї з найвідоміших бірж у галузі. Заснований у 2011 році розвиток Kraken став синонімом інституціоналізації біткойна.

У січні було схвалено 11 різних спотових біткойн ETF. Через кілька місяців Kraken збирає кошти перед можливим первинним розміщенням акцій.

Подвиг також був дивним. CertiK, бізнес, заснований на захисті коду для крипто, здається, порушив майже всі галузеві стандарти щодо винагород за помилки. Вони навіть намагалися домовитися про продаж із командою безпеки Kraken протягом усього провалу.

CertiK не відразу відповів на запит DL News про коментарі.

У твіті Percoco сказав, що CertiK вимагав біржу, а не хакерство.

Основні правила

Програми винагород за помилки поширені в крипто- та технологічній індустрії.

Будь-який криптопроект, який вартий свого коду, відкладає готівку на кілька перевірок своїх смарт-контрактів і ще одну суму для винагороди хитрих — але етичних — хакерів, які виявлять помилку.

Минулого місяця один дослідник заробив 2 мільйони доларів за виявлення помилки в мережі Sei рівня 1. Kraken платить до 1,5 мільйона доларів за критичні помилки, подібні до тієї, що сталася нещодавно.

Перкоко, дослідник безпеки з кінця 90-х років, каже, що програма Kraken існує вже десять років. Його вхідна скринька заповнюється фальшивими експлойтами від людей, які шукають швидких виплат.

Він навіть вважав звіт CertiK фейком.

«Вам було запропоновано зв’язатися з нами якнайшвидше», а контактної інформації не було. Я навіть не міг надіслати пряме повідомлення», — сказав він. «Було трохи сумнівно, чи це хтось просто намагався нас обдурити».

Червоні прапори

Тим не менш, команда з п’яти осіб, яка стежить за папкою «Вхідні» вдень і вночі, повинна прочісувати кожне повідомлення. Оскільки Kraken генерує понад 1 мільярд доларів щоденного обсягу торгів, на карту поставлено багато.

Відсутність контактної інформації була не єдиною проблемою, сказав Перкоко.

Збирачі винагород повинні дотримуватися чотирьох правил для повідомлення про помилки. По-перше, вони повинні повідомити про помилку компанії, щойно її виявлять.

По-друге, збирачі винагород повинні довести, що вони можуть використовувати помилку. По-третє, надаючи докази, вони повинні взяти лише стільки грошей, щоб довести вразливість.

І, нарешті, вони повинні залучити компанію до повторного тестування експлойту та перевірити, чи вдалося компанії його виправити.

За словами Перкоко, CertiK застосував інший підхід, порушивши всі чотири правила.

Проблеми зростання криптовалюти

З появою BlackRock і Fidelity у центрі уваги — безпека та винагороди за помилки. Але на відміну від інших галузей, де найкращі практики тривають роками, у криптовалюті вони можуть тривати лише кілька днів.

Компанії все ще вливають гроші в програми винагород за помилки, незважаючи на останній інцидент.

За даними платформи HackerOne, криптобіржа Crypto.com пропонує $80 000 за критичну помилку. Служба зберігання даних Fireblocks дає величезну винагороду в розмірі 250 000 доларів США за подібні вразливості.

Навіть публічно зареєстрована Coinbase заплатить 1 мільйон доларів, якщо ви зможете зламати біржу.

Винагороди за помилки – це дорога та іноді незграбна система безпеки, але з огляду на те, що цього року вже вкрадено 664 мільйони доларів, вони все одно необхідні.

Ліам Келлі є кореспондентом DeFi у DL News. Звертайтеся за адресою liam@dlnews.com.