TLDR
Kraken виявив помилку, яка дозволяла користувачам штучно завищувати свій баланс і знімати кошти, не вносячи депозити.
CertiK, фірма безпеки блокчейнів, назвала себе «дослідником безпеки», який використав помилку та вилучив майже 3 мільйони доларів із скарбниць Kraken.
Kraken стверджує, що CertiK відмовився повернути кошти, доки біржа не надасть оцінку потенційних збитків, назвавши це «вимаганням».
CertiK захищав свої дії, заявляючи, що тестував масштаб уразливості та що Kraken погрожував своїм співробітникам повернути невідповідну суму коштів у нерозумні терміни.
Цей інцидент викликав дебати щодо етики хакерства та програм винагороди за помилки в індустрії криптовалют.
Криптовалютна біржа Kraken нещодавно виявила, що стала жертвою вразливості системи безпеки, яка дозволяла користувачам штучно завищувати баланс своїх рахунків і знімати кошти без повного завершення депозитів. Біржа повідомила, що в результаті експлойту з її скарбниць було вкрадено майже 3 мільйони доларів.
Фірма з безпеки блокчейнів CertiK виступила, назвавши себе «дослідником безпеки», відповідальним за використання помилки та виведення коштів.
Головний спеціаліст із безпеки Kraken Нік Перкоко раніше звинуватив неназвану на той час команду безпеки у «вимаганні» за відмову повернути кошти, доки біржа не надасть оцінку потенційних збитків, якщо помилка залишиться нерозкритою.
Оновлення безпеки Kraken:
9 червня 2024 року ми отримали сповіщення про програму Bug Bounty від дослідника безпеки. Спочатку не було розголошено ніяких подробиць, але їхній електронний лист стверджував, що вони виявили «надзвичайно критичну» помилку, яка дозволила їм штучно завищити свій баланс на нашій платформі.
— Нік Перкоко (@c7five) 19 червня 2024 р
Проте CertiK захищав свої дії, стверджуючи, що він перевіряв масштаби вразливості та що Kraken погрожував своїм співробітникам повернути невідповідну суму коштів протягом необґрунтованого терміну, навіть не надавши адресу для повернення.
CertiK нещодавно виявив серію критичних вразливостей в обміні @krakenfx, які потенційно можуть призвести до збитків на сотні мільйонів доларів.
Починаючи зі знахідки в депозитній системі @krakenfx, де вона може не розрізняти різні внутрішні… pic.twitter.com/JZkMXj2ZCD
— CertiK (@CertiK) 19 червня 2024 р
Охоронна фірма надала хронологію подій, детально описуючи свою взаємодію з Kraken і виявлення експлойту.
За даними CertiK, уразливість дозволила внести мільйони доларів на будь-який рахунок Kraken з можливістю зняття та конвертації сфабрикованої криптовалюти в дійсну криптовалюту.
Фірма також стверджувала, що протягом багатоденного періоду тестування не надходило жодних сповіщень, а Kraken відповів і заблокував тестові облікові записи лише через кілька днів після початкового розкриття інформації.
Цей інцидент викликав дискусію про етику хакерства та ефективність програм винагороди за помилки.
У той час як деякі стверджують, що дії CertiK були виправдані в інтересах ретельного тестування вразливості, інші вважають, що фірма переступила межу, знявши таку велику суму грошей і відмовившись повернути її негайно.
Kraken стверджує, що дії CertiK не відповідають принципам білого хакерства, і що він працює з правоохоронними органами, щоб повернути активи. Біржа також підкреслила, що експлойт не вплинув на кошти користувачів, оскільки вкрадені гроші надходили з власних скарбниць Kraken.
Публікація Bug Bounty пішла не так: Kraken звинувачує CertiK у здирництві, CertiK захищає свої дії вперше з’явилася на Blockonomi.
