TLDR

  • Kraken đã phát hiện ra một lỗi cho phép người dùng tăng số dư một cách giả tạo và rút tiền mà không cần hoàn tất việc gửi tiền.

  • CertiK, một công ty bảo mật blockchain, tự nhận mình là “nhà nghiên cứu bảo mật” đã khai thác lỗi này và rút gần 3 triệu USD từ kho bạc của Kraken.

  • Kraken tuyên bố CertiK từ chối trả lại tiền cho đến khi sàn giao dịch đưa ra ước tính về khoản lỗ tiềm ẩn, gọi đó là “tống tiền”.

  • CertiK bảo vệ hành động của mình, nói rằng họ đang kiểm tra phạm vi của lỗ hổng và Kraken đã đe dọa nhân viên của mình sẽ trả lại số tiền không khớp trong một khung thời gian không hợp lý.

  • Vụ việc đã làm dấy lên một cuộc tranh luận về đạo đức của các chương trình hack mũ trắng và tiền thưởng lỗi trong ngành công nghiệp tiền điện tử.

Sàn giao dịch tiền điện tử Kraken gần đây đã tiết lộ rằng họ đã trở thành nạn nhân của một lỗ hổng bảo mật cho phép người dùng tăng số dư tài khoản của họ một cách giả tạo và rút tiền mà không hoàn tất việc gửi tiền. Sàn giao dịch báo cáo rằng gần 3 triệu đô la đã bị đánh cắp khỏi kho bạc do việc khai thác.

Công ty bảo mật chuỗi khối CertiK đã đứng ra, tự nhận mình là “nhà nghiên cứu bảo mật” chịu trách nhiệm khai thác lỗi và rút tiền.

Giám đốc An ninh của Kraken, Nick Percoco, trước đó đã cáo buộc nhóm bảo mật giấu tên khi đó đã “tống tiền” vì từ chối trả lại tiền cho đến khi sàn giao dịch đưa ra ước tính về tổn thất tiềm ẩn nếu lỗi vẫn chưa được tiết lộ.

Cập nhật bảo mật Kraken:

Vào ngày 9 tháng 6 năm 2024, chúng tôi nhận được cảnh báo về chương trình Bug Bounty từ một nhà nghiên cứu bảo mật. Ban đầu không có thông tin cụ thể nào được tiết lộ, nhưng email của họ tuyên bố đã tìm thấy một lỗi “cực kỳ nghiêm trọng” cho phép họ tăng số dư một cách giả tạo trên nền tảng của chúng tôi.

- Nick Percoco (@c75) Ngày 19 tháng 6 năm 2024

Tuy nhiên, CertiK đã bảo vệ hành động của mình, tuyên bố rằng họ đã kiểm tra phạm vi của lỗ hổng và Kraken đã đe dọa nhân viên của mình sẽ trả lại số tiền không khớp trong một khung thời gian không hợp lý mà thậm chí không cung cấp địa chỉ trả nợ.

CertiK gần đây đã xác định một loạt lỗ hổng nghiêm trọng trong sàn giao dịch @krakenfx có khả năng gây thiệt hại hàng trăm triệu đô la.

Bắt đầu từ một phát hiện trong hệ thống tiền gửi của @krakenfx, nơi có thể không phân biệt được giữa các nội bộ khác nhau… pic.twitter.com/JZkMXj2ZCD

- Chứng nhận (@CertiK) Ngày 19 tháng 6 năm 2024

Công ty bảo mật đã cung cấp dòng thời gian của các sự kiện, nêu chi tiết các tương tác của nó với Kraken và việc phát hiện ra cách khai thác.

Theo CertiK, lỗ hổng này cho phép gửi hàng triệu đô la vào bất kỳ tài khoản Kraken nào, với khả năng rút và chuyển đổi tiền điện tử bịa đặt thành tiền điện tử hợp lệ.

Công ty cũng tuyên bố rằng không có cảnh báo nào được kích hoạt trong thời gian thử nghiệm kéo dài nhiều ngày và Kraken chỉ phản hồi và khóa tài khoản thử nghiệm vài ngày sau lần tiết lộ đầu tiên.

Vụ việc đã làm dấy lên một cuộc tranh luận về đạo đức của việc hack mũ trắng và tính hiệu quả của các chương trình tiền thưởng lỗi.

Trong khi một số người cho rằng hành động của CertiK là hợp lý vì lợi ích của việc kiểm tra kỹ lưỡng lỗ hổng, những người khác tin rằng công ty đã vượt quá giới hạn khi rút một số tiền lớn như vậy và từ chối trả lại ngay lập tức.

Kraken khẳng định rằng hành động của CertiK không phù hợp với các nguyên tắc hack mũ trắng và họ đang làm việc với các cơ quan thực thi pháp luật để lấy lại tài sản. Sàn giao dịch cũng nhấn mạnh rằng không có khoản tiền nào của người dùng bị ảnh hưởng bởi việc khai thác, vì số tiền bị đánh cắp đến từ kho bạc của chính Kraken.

Bài đăng Bug Bounty Gone Wrong: Kraken buộc tội CertiK tống tiền, CertiK bảo vệ hành động của nó xuất hiện đầu tiên trên Blockonomi.