Криптозахисна фірма CertiK і Kraken у суперечці про винагороду за помилки через витік 3 мільйонів доларів

Швидкий прийом:

• Керівник безпеки Kraken Нік Перкоко заявив у середу, що з його гаманців було вилучено 3 мільйони доларів.

• Помилка дозволяла будь-кому ініціювати депозит на платформі та отримувати кошти, не завершуючи його.

• Percoco сказав, що троє людей, пов’язаних з нерозкритою компанією, відмовилися повернути кошти, доки Kraken не оприлюднить потенційний розмір експлойту.

Згідно з інформаційним матеріалом, оприлюдненим компанією з безпеки блокчейнів на X, CertiK і криптообмінна компанія Kraken протягом останніх кількох днів вели суперечку щодо винагороди за помилки. 

5 червня CertiK повідомила, що виявила вразливість у депозитній системі Kraken, яка дозволяла вилучати сфабриковані криптовалюти, які можна було конвертувати в дійсні криптовалюти.

Криптозахисна фірма внесла 200 Matic 5 червня, а через два дні зняла 90 000 Matic. Потім компанія зробила значно більший депозит, перш ніж зняти ще більшу суму 9 червня, заявила фірма в дописі на X.

Джерело: Certik on X

Коментуючи результати тестування на X, CertiK написав: «Біржа Kraken не пройшла всі ці тести, що вказує на те, що система глибокого захисту Kraken скомпрометована з кількох сторін. Мільйони доларів можна внести на БУДЬ-ЯКИЙ рахунок Kraken».

«Величезна кількість сфабрикованих криптовалют (вартістю понад 1 мільйон доларів США) може бути знята з рахунку та конвертована в дійсні криптовалюти. Що ще гірше, під час багатоденного періоду тестування жодних сповіщень не надходило. Kraken відповів і заблокував тестові облікові записи лише через кілька днів після того, як ми офіційно повідомили про інцидент».

У своїй відповіді керівник відділу безпеки Kraken Нік Перкоко сказав, що його компанія змогла «відсортувати помилку» протягом години 47 хвилин, а потім повністю усунути проблему протягом кількох годин.

Описуючи обставини помилки, він сказав: «Наша команда виявила недолік, який випливає з нещодавньої зміни UX, яка негайно кредитувала облікові записи клієнтів до того, як їхні активи очищалися, що дозволяло клієнтам ефективно торгувати на криптовалютних ринках у режимі реального часу. Ця зміна UX не була ретельно перевірена на цей конкретний вектор атаки».

Перкоко сказав, що подальші розслідування показали, що три облікові записи вже повністю скористалися помилкою, щоб зарахувати на свої облікові записи 4 долари криптовалюти, чого було б достатньо, щоб подати звіт про винагороду за помилку команді Kraken, заробивши собі значну винагороду від криптобіржі. програма баунті.

«Натомість «дослідник безпеки» повідомив про цю помилку двом іншим особам, з якими вони співпрацюють, які шахрайським шляхом отримали набагато більші суми. Зрештою вони зняли майже 3 мільйони доларів зі своїх рахунків Kraken. Це було зі скарбниць Kraken, а не з активів інших клієнтів».

Після дискусій щодо подання звіту, щоб кошти могли бути повернуті, дослідники відмовилися, сказав Перкоко, продовжуючи називати подію «вимаганням».

У CertiK заявили, що після початкових успішних перетворень щодо виявлення та усунення вразливості команда безпеки Kraken погрожувала окремим співробітникам CertiK повернути невідповідні суми криптовалюти, не даючи їм розумного часу або адреси для виплати.

Будьте в курсі подій:

Підпишіться на нашу розсилку за цим посиланням – ми не розсилатимемо спам!

Слідкуйте за нами в X і Telegram.

Повідомлення Crypto Security Firm CertiK і Kraken у суперечці про винагороду за помилки на тлі витоку 3 мільйонів доларів США вперше з’явилося на NFTgators.