Фірма безпеки блокчейну CertiK назвала себе дослідником безпеки, який Kraken стверджує, що вкрав цифрові активи на суму майже 3 мільйони доларів.
Kraken зазнав жукової атаки менше двох тижнів тому, втративши майже 3 мільйони доларів. Тоді криптовалютна біржа заявила, що розглядає інцидент як кримінальну справу та координуватиме свої дії з правоохоронними органами.
Атака Кракена
9 червня криптовалютна біржа Kraken оголосила, що постраждала від експлойту, через який платформа втратила активи на 3 мільйони доларів. Відповідно до звіту, опублікованого керівником служби безпеки Kraken Ніколасом Перкоко, платформа отримала сповіщення про програму винагороди за помилку від дослідника безпеки, який стверджував, що знайшов надзвичайно критичну помилку, яка дозволила їм штучно завищити свій баланс на Kraken.
«9 червня 2024 року ми отримали сповіщення про програму баунті від дослідника безпеки. Спочатку не було розголошено ніяких подробиць, але їхній електронний лист стверджував, що вони виявили «надзвичайно критичну» помилку, яка дозволила їм штучно завищити свій баланс на нашій платформі».
Перкоко заявив, що під час подальшого розслідування вони виявили окрему помилку, яка давала поганому актору значні привілеї, дозволяючи йому ініціювати депозит на Kraken і отримувати кошти на свій рахунок, навіть не завершивши депозит. Уразливість, що виникла після нещодавньої зміни UX на Kraken, дозволила зловмиснику «роздрукувати активи» у своєму обліковому записі Kraken. Kraken заявив, що недолік було виправлено, і жодні клієнтські кошти не були скомпрометовані. Kraken стверджував, що подальше розслідування показало, що дослідник безпеки поділився помилкою з двома колегами, які використовували її, щоб отримати значні кошти шахрайським шляхом.
CertiK ідентифікує себе як дослідник безпеки
Тепер компанія з безпеки блокчейнів CertiK назвала себе дослідником безпеки, який Kraken стверджує, що вкрав цифрові активи на 3 мільйони доларів. У дописі на X CertiK заявив, що повідомив Kraken про експлойт, який дозволив йому видалити мільйони з облікових записів біржі.
«CertiK нещодавно виявив серію критичних вразливостей в обміні @krakenfx, які потенційно можуть призвести до збитків на сотні мільйонів доларів. Після виявлення ми повідомили Kraken, чия команда безпеки класифікувала це як критичне: найсерйозніший рівень класифікації в Kraken».
Фірма безпеки блокчейну заявила, що команда безпеки Kraken погрожувала співробітникам CertiK.
«Після початкових успішних перетворень щодо виявлення та усунення вразливості команда безпеки Kraken ПОГРОЖИЛА окремим співробітникам CertiK повернути НЕВІДПОВІДНУ кількість криптовалюти в НЕРОЗУМНИЙ термін, навіть БЕЗ надання адреси для погашення. У дусі прозорості та нашої відданості спільноті Web3 ми виходимо на загальний доступ, щоб захистити безпеку всіх користувачів. Ми закликаємо [Kraken] припинити будь-які загрози хакерам білих капелюхів».
CertiK також опублікував розклад подій, починаючи з виявлення експлойта 5 червня та закінчуючи погрозами Kraken співробітникам CertiK 18 червня. Охоронна фірма додала, що вона також переведе кошти на рахунок, до якого Kraken матиме доступ.
Крипто-спільнота підтримує Kraken
Реакція багатьох у крипто-спільноті, здавалося, була на користь Kraken, стверджуючи, що дії CertiK не узгоджуються з тим, як поводилися б хакери білих капелюхів. Однак незрозуміло, чи планує Kraken подавати позов і чи має для цього підстави.
«Certik щойно зізнався, що він охоронна фірма, яка вкрала у Kraken, і намагається вимагати від них більше грошей. Зважаючи на те, як часто аудити Certik зазнають зламів, а тепер це дивно, що вони все ще існують. Прямий злочинець».
CertiK раніше виявив значні вразливості в Wormhole Bridge і додатку Telegram. Фірма повідомила, що у 2023 році через незаконну діяльність було втрачено близько 1 мільярда доларів цифрових активів.
Відмова від відповідальності: ця стаття надається лише для інформаційних цілей. Він не пропонується та не призначений для використання як юридичні, податкові, інвестиційні, фінансові чи інші поради.
