Sàn giao dịch tiền điện tử Kraken vừa thông báo rằng họ đã trở thành nạn nhân của một lỗ hổng bảo mật nghiêm trọng dẫn đến việc đánh cắp tài sản kỹ thuật số trị giá 3 triệu USD. Tuy nhiên, trong một diễn biến đáng ngạc nhiên, bên chịu trách nhiệm đã được xác định là CertiK. Công ty bảo mật blockchain này tuyên bố ban đầu đã báo cáo lỗi thông qua chương trình tiền thưởng lỗi của Kraken.
CertiK hiện bị cáo buộc khai thác thêm các lỗ hổng và tống tiền sàn giao dịch để lấy thêm tiền, dẫn đến các lời kêu gọi hành động pháp lý và mối lo ngại của các nhà đầu tư tiền điện tử.
Lỗ hổng bảo mật Kraken bị lộ
Vụ việc xảy ra khi Giám đốc An ninh của Kraken, Nick Percoco, tiết lộ rằng sàn giao dịch đã nhận được báo cáo lỗi vào ngày 9 tháng 6 từ một nhà nghiên cứu bảo mật tự mô tả. Nhà nghiên cứu tuyên bố đã phát hiện ra một lỗi “cực kỳ nghiêm trọng” cho phép họ tăng số dư trên nền tảng một cách giả tạo.
Sau khi điều tra sâu hơn, CertiK, thừa nhận có liên quan đến vụ việc trong bài đăng trên mạng xã hội của mình, đã phát hiện ra một số lỗ hổng nghiêm trọng trong hệ thống của Kraken có khả năng gây thiệt hại hàng trăm triệu đô la.
Đọc liên quan
Phát hiện của CertiK cho thấy những thiếu sót trong hệ thống tiền gửi của Kraken, cho thấy sự thiếu phân biệt giữa các trạng thái chuyển tiền nội bộ. Hơn nữa, thử nghiệm của CertiK cho thấy Kraken đã thất bại trong tất cả các thử nghiệm này, làm lộ ra trạng thái bị xâm phạm của hệ thống phòng thủ chuyên sâu của Kraken.
Theo CertiK, “hàng triệu đô la” có thể được gửi vào bất kỳ tài khoản Kraken nào và một lượng đáng kể tiền điện tử giả (trị giá hơn 1 triệu đô la) có thể được rút và chuyển đổi thành tài sản kỹ thuật số hợp lệ.
Công ty bảo mật cũng tuyên bố rằng không có cảnh báo nào được kích hoạt trong “thời gian thử nghiệm kéo dài nhiều ngày” và Kraken chỉ phản hồi và chặn các tài khoản thử nghiệm vài ngày sau khi sự việc được báo cáo chính thức.
Sau khi xác định lỗ hổng, CertiK cáo buộc rằng nhóm hoạt động bảo mật của Kraken đã “đe dọa” từng nhân viên của CertiK, yêu cầu hoàn trả số tiền điện tử “không khớp” trong “khung thời gian không hợp lý” mà không cung cấp địa chỉ trả nợ.
Tuy nhiên, Percoco của Kraken phản bác rằng họ đã yêu cầu hạch toán đầy đủ các hoạt động của công ty khi đó chưa được biết đến và hoàn trả số tiền đã rút. Percoco lập luận rằng việc CertiK từ chối tuân thủ các yêu cầu này đã vi phạm các quy tắc hack có đạo đức và gần như là hành vi tống tiền.
CertiK có phải đối mặt với hậu quả pháp lý không?
Tiết lộ về vụ việc này đã gây bất ngờ và lo ngại trong cộng đồng tiền điện tử, dẫn đến những lời kêu gọi hành động pháp lý chống lại CertiK.
Một người dùng đã cáo buộc CertiK đã đánh cắp số tiền 3 triệu đô la từ Kraken, giữ tiền chuộc để lấy tiền thưởng, từ chối trả lại tiền và hiện chuyển tiền sang Tornado.cash để bảo vệ nó khỏi khả năng bị chính quyền tịch thu.
Giám đốc của Coinbase, Conor Grogan, đã chỉ ra rằng Tornado.cash phải chịu các lệnh trừng phạt của Văn phòng Kiểm soát Tài sản Nước ngoài (OFAC) và nhấn mạnh nơi cư trú tại Hoa Kỳ của CertiK, ám chỉ những hậu quả pháp lý tiềm ẩn của các cơ quan Hoa Kỳ.
Chuyên gia thị trường Adam Cochran cũng cân nhắc, ngạc nhiên trước hành động của CertiK và nêu bật lịch sử kiểm toán bị xâm phạm của công ty. Cochran còn đi xa hơn khi mô tả tình huống này là “Tội phạm cấp dưới”.
Đọc liên quan
Các bước tiếp theo mà Kraken thực hiện và những hậu quả tiềm ẩn đối với CertiK vẫn chưa được nhìn thấy. Tuy nhiên, sự tham gia của các cơ quan Hoa Kỳ và các hành động pháp lý tiềm ẩn đang rình rập công ty bảo mật này.
Những diễn biến đang diễn ra trong trường hợp này chắc chắn sẽ định hình tương lai của các chương trình thưởng lỗi và tác động đến mối quan hệ giữa các sàn giao dịch tiền điện tử và các công ty bảo mật.
Hình ảnh nổi bật từ Shutterstock, biểu đồ từ TradingView.com
Nguồn: NewsBTC.com
Bài viết CertiK đối mặt với sự sụp đổ sau khi thú nhận vụ cướp 3 triệu đô la từ Kraken, tiếp theo là gì? xuất hiện đầu tiên trên Crypto Breaking News.
