CertiK "vs." Kraken: Đâu là tiêu chuẩn phù hợp cho hacker mũ trắng?

Bản gốc｜Odaily Planet Daily

Tác giả｜jk

Vào ngày 19 tháng 6, theo giờ địa phương ở Hoa Kỳ, sàn giao dịch tiền điện tử Kraken và công ty bảo mật blockchain CertiK đã có cuộc đối đầu công khai trên mạng xã hội về một loạt lỗ hổng bảo mật nghiêm trọng.

Sự cố bắt nguồn từ một lỗ hổng Kraken do CertiK phát hiện: Giám đốc An ninh Kraken Nick Percoco tiết lộ trên Twitter rằng họ đã nhận được báo cáo về lỗ hổng "cực kỳ nghiêm trọng" trong chương trình tiền thưởng lỗi của mình và báo cáo tuyên bố đã phát hiện ra một lỗ hổng có thể là A một cách giả tạo. lỗ hổng làm tăng số dư tài khoản. CertiK gọi đây là cuộc kiểm tra bảo mật của sàn Kraken và Kraken tin rằng CertiK đã khai thác lỗ hổng ở giữa để thu lợi. Hai bên nhất quyết giữ quan điểm của mình và tiếp tục tranh cãi, tạo thành cảnh ăn dưa quy mô lớn.

Tiết lộ sự cố Kraken

Sau đây là quá trình xảy ra sự cố được giám đốc an ninh của Kraken đưa ra trên nền tảng X:

“Vào ngày 9 tháng 6 năm 2024, chúng tôi nhận được cảnh báo từ một nhà nghiên cứu bảo mật thông qua chương trình tiền thưởng lỗi của chúng tôi. Lúc đầu không có thông tin cụ thể nào, nhưng họ tuyên bố đã phát hiện ra một lỗ hổng “cực kỳ nghiêm trọng” cho phép họ khai thác nền tảng của chúng tôi. tăng lên một cách giả tạo.

Chúng tôi nhận được báo cáo về lỗ hổng bảo mật giả mạo hàng ngày từ những người tự xưng là “nhà nghiên cứu bảo mật”. Điều này không có gì mới đối với bất kỳ ai đang chạy chương trình tiền thưởng lỗi. Tuy nhiên, chúng tôi rất coi trọng vấn đề này và nhanh chóng tập hợp một nhóm đa chức năng để điều tra vấn đề. Đây là những gì chúng tôi tìm thấy.

Trong vòng vài phút, chúng tôi đã phát hiện ra một lỗ hổng bị cô lập. Trong một số trường hợp nhất định, lỗ hổng này có thể cho phép kẻ tấn công có ác ý bắt đầu hoạt động gửi tiền và nhận tiền trong tài khoản của họ mà không cần hoàn thành đầy đủ khoản tiền gửi.

Nói rõ hơn, tài sản của khách hàng không bao giờ gặp rủi ro. Tuy nhiên, kẻ tấn công độc hại có thể tạo tài sản trong tài khoản Kraken của chúng một cách hiệu quả trong một khoảng thời gian.

Chúng tôi đánh giá lỗ hổng này là Nghiêm trọng và vấn đề đã được nhóm chuyên gia của chúng tôi giảm thiểu trong vòng một giờ (chính xác là 47 phút). Trong vòng vài giờ, sự cố đã được khắc phục hoàn toàn và sẽ không bao giờ xảy ra nữa.

Nhóm của chúng tôi đã phát hiện ra rằng lỗ hổng này bắt nguồn từ những thay đổi gần đây về trải nghiệm người dùng (UX) ghi nợ tài khoản khách hàng ngay trước khi tài sản của họ được thanh toán — và cho phép khách hàng giao dịch thị trường tiền điện tử trong thời gian thực. Thay đổi UX này chưa được kiểm tra đầy đủ đối với vectơ tấn công cụ thể này.

Sau khi vá rủi ro, chúng tôi đã tiến hành điều tra kỹ lưỡng và nhanh chóng phát hiện ra rằng ba tài khoản đã khai thác lỗ hổng này trong vòng vài ngày. Sau khi điều tra sâu hơn, chúng tôi nhận thấy rằng một trong các tài khoản đã được liên kết qua KYC với một cá nhân tự xưng là nhà nghiên cứu bảo mật.

Cá nhân này đã phát hiện ra lỗ hổng này trong hệ thống tài trợ của chúng tôi và sử dụng nó để tăng số dư tài khoản của mình thêm 4 USD. Điều này đủ để chứng minh sự tồn tại của lỗ hổng bảo mật, gửi báo cáo lỗi thưởng cho nhóm của chúng tôi và nhận phần thưởng lớn theo các điều khoản trong chương trình của chúng tôi.

Tuy nhiên, “nhà nghiên cứu bảo mật” đã tiết lộ lỗ hổng này cho hai cá nhân khác mà anh ta đang làm việc cùng, những người này đã khai thác nó để tạo ra số tiền lớn hơn một cách gian lận. Cuối cùng họ đã rút gần 3 triệu USD từ tài khoản Kraken của mình. Những khoản tiền này đến từ kho tiền của Kraken chứ không phải tài sản của khách hàng khác.

Báo cáo tiền thưởng lỗi ban đầu không tiết lộ đầy đủ các thông tin giao dịch này, vì vậy chúng tôi đã liên hệ với các nhà nghiên cứu bảo mật để xác nhận một số chi tiết nhằm thưởng cho họ vì đã phát hiện thành công các lỗ hổng bảo mật trong nền tảng của chúng tôi.

Sau đó, chúng tôi yêu cầu họ cung cấp mô tả chi tiết về hoạt động của họ, tạo bằng chứng về khái niệm hoạt động trên chuỗi và sắp xếp việc trả lại số tiền họ đã rút. Đây là thực tế phổ biến với bất kỳ chương trình tiền thưởng lỗi nào. Những nhà nghiên cứu bảo mật này đã từ chối.

Thay vào đó, họ yêu cầu được nói chuyện với nhóm BD của họ (tức là đại diện bán hàng của họ) và sẽ không đồng ý trả lại bất kỳ khoản tiền nào cho đến khi chúng tôi cung cấp số tiền giả định về các khoản lỗ có thể xảy ra. Đây không phải là hack mũ trắng, đây là tống tiền!

Chúng tôi đã có chương trình thưởng lỗi tại Kraken trong gần mười năm. Chương trình được điều hành nội bộ và có nhân viên toàn thời gian bởi một số người có đầu óc thông minh nhất trong cộng đồng. Chương trình của chúng tôi, giống như nhiều chương trình khác, có các quy tắc rõ ràng:

• Không trích xuất nhiều hơn mức cần thiết để chứng minh lỗ hổng.

• Giới thiệu tác phẩm của bạn (tức là cung cấp bằng chứng về khái niệm).

• Bất cứ thứ gì bị rút phải được trả lại ngay lập tức.

Chúng tôi chưa bao giờ gặp bất kỳ vấn đề nào khi làm việc với các nhà nghiên cứu hợp pháp và chúng tôi luôn phản hồi nhanh chóng.

Vì lợi ích của sự minh bạch, chúng tôi sẽ tiết lộ lỗ hổng này cho ngành ngay hôm nay. Chúng tôi bị cáo buộc là vô lý và thiếu chuyên nghiệp khi yêu cầu "hacker mũ trắng" trả lại những gì họ đã đánh cắp từ chúng tôi. Thật không thể tin được.

Với tư cách là nhà nghiên cứu bảo mật, giấy phép "hacker" của bạn được kích hoạt bằng cách tuân theo các quy tắc đơn giản của chương trình tiền thưởng lỗi mà bạn tham gia. Bỏ qua các quy tắc này và gian lận công ty sẽ thu hồi giấy phép "hack" của bạn. Điều này khiến bạn và công ty của bạn trở thành tội phạm.

Chúng tôi sẽ không nêu tên công ty nghiên cứu vì hành động của họ không đáng được ghi nhận. Chúng tôi coi đây là một vấn đề hình sự và đang phối hợp với các cơ quan thực thi pháp luật. Chúng tôi đánh giá cao việc báo cáo vấn đề này, nhưng chỉ vậy thôi.

Chương trình tiền thưởng lỗi của chúng tôi tiếp tục đóng một vai trò quan trọng trong sứ mệnh của Kraken và là một phần quan trọng trong nỗ lực của chúng tôi nhằm tăng cường tính bảo mật chung của hệ sinh thái tiền điện tử. Chúng tôi mong muốn được làm việc với những người thực hiện liêm chính trong tương lai và coi đây là một sự kiện độc lập. "

CertiK đã trả lời

Mặc dù Kraken không tiết lộ tên cụ thể của công ty mà nhà nghiên cứu bảo mật này trực thuộc, nhưng CertiK đã công bố phản hồi về vụ việc trên nền tảng X vài giờ sau đó. Sau đây là phản hồi được đưa ra bởi nền tảng X chính thức của CertiK:

“Gần đây, CertiK đã phát hiện ra một loạt lỗ hổng nghiêm trọng trên sàn giao dịch Kraken có thể gây thiệt hại hàng trăm triệu đô la.

Bắt đầu từ việc phát hiện ra vấn đề với hệ thống gửi tiền của Kraken, có thể không phân biệt được giữa các trạng thái chuyển khoản nội bộ khác nhau, chúng tôi đã tiến hành điều tra kỹ lưỡng tập trung vào ba vấn đề sau:

1. Kẻ xấu có thể giả mạo giao dịch gửi tiền vào tài khoản Kraken không?

2. Kẻ xấu có thể rút tiền giả không?

3. Những yêu cầu rút tiền lớn có thể kích hoạt những biện pháp kiểm soát rủi ro và bảo vệ tài sản nào?

Theo kết quả thử nghiệm của chúng tôi: Kraken Exchange đã thất bại trong tất cả các thử nghiệm này, cho thấy hệ thống phòng thủ chuyên sâu của Kraken đã bị xâm phạm theo nhiều cách. Hàng triệu đô la có thể được gửi vào bất kỳ tài khoản Kraken nào. Hơn 1 triệu đô la tiền điện tử giả có thể được rút khỏi tài khoản và chuyển đổi thành tiền điện tử hợp lệ. Tệ hơn nữa, trong thời gian thử nghiệm kéo dài nhiều ngày, không có cảnh báo nào được kích hoạt. Kraken chỉ phản hồi và khóa tài khoản thử nghiệm sau khi chúng tôi chính thức thông báo sự việc.

Sau khi phát hiện, chúng tôi đã thông báo cho Kraken và nhóm bảo mật của Kraken đã phân loại nó là "Nghiêm trọng", cấp độ phân loại sự cố bảo mật nghiêm trọng nhất của Kraken.

Sau khi xác định và khắc phục thành công lỗ hổng ban đầu, nhóm hoạt động bảo mật của Kraken đã đe dọa từng nhân viên của CertiK sẽ hoàn trả số tiền điện tử không khớp trong một khoảng thời gian không hợp lý mà thậm chí không cung cấp địa chỉ trả nợ.

Với tinh thần minh bạch và cam kết của chúng tôi với cộng đồng Web3, chúng tôi tiết lộ thông tin này để bảo vệ tính bảo mật của tất cả người dùng. Chúng tôi kêu gọi Kraken chấm dứt mọi mối đe dọa chống lại hacker mũ trắng.

Chúng ta cùng nhau đối mặt với rủi ro và bảo vệ tương lai của Web3. "

Sau đó, CertiK tiết lộ toàn bộ dòng thời gian và địa chỉ gửi tiền.

Dòng thời gian được CertiK công bố. Nguồn: CertiK Official X

Đồng thời, CertiK cũng tuyên bố rằng vì Kraken không cung cấp địa chỉ trả nợ và số tiền hoàn trả được yêu cầu hoàn toàn không khớp nên chúng tôi đã chuyển số tiền hiện có sang tài khoản mà Kraken có thể truy cập dựa trên hồ sơ.

Các tin tức và bình luận tiếp theo khác

Đánh giá từ thông tin cơ bản, số tiền thưởng của chương trình tiền thưởng lỗi của Kraken thực sự rất đáng kể. Mức tiền thưởng cho sự cố bảo mật cao nhất tương tự như sự cố này là từ 1 triệu đến 1,5 triệu đô la Mỹ. Đây là một khoảng cách khá xa so với số tiền ba triệu đô la Mỹ mà Kraken đã yêu cầu. Vì vậy, một số người đã nói trong phần bình luận: "Tôi không nghĩ hacker nên trả lại nó". Những người khác trả lời: "Bạn có muốn lấy một triệu không." Tiền thưởng? Đi tù với số tiền bất hợp pháp ba triệu?"

Tiền thưởng từ chương trình thưởng lỗi Kraken. Nguồn: Kraken

Thám tử ZachXBT trên chuỗi cho biết: Câu chuyện này càng trở nên hoang dã hơn.

Một người dùng Twitter khác, @trading_axe, đã thực hiện một cách tiếp cận khác và nói: "Tôi nghĩ (CertiK) đã làm sai... không nói rằng họ đang ăn trộm, nhưng một tên trộm sẽ lấy mọi thứ họ có thể và bỏ trốn. Tôi nghĩ họ đã làm hỏng việc." Điều tệ hại là họ chỉ lấy ba triệu đô la; nếu họ dùng con bọ này để trộm hơn 100 triệu, thì nếu trả lại, họ sẽ giống như những người đội mũ trắng (ngụ ý là, điều đó sẽ khiến họ trông giống như một vị cứu tinh). /có sáng kiến). Tuy nhiên, bạn chỉ lấy ba triệu và bây giờ buộc phải trả lại, có vẻ rất yếu.