Trong bài viết này, chúng ta nói về một câu chuyện đáng kinh ngạc: vài ngày trước, công ty kiểm toán Certik đã xác định được một lỗ hổng trong hệ thống bảo mật của sàn giao dịch tiền điện tử Kraken có thể dẫn đến một vụ hack nghiêm trọng.
Sau khi tiến hành một số thử nghiệm trong 3 ngày và thực hiện một cuộc tấn công “hack trắng” trị giá 3 triệu đô la, Certik đã liên hệ với Kraken để thông báo về lỗi này, nhưng ban đầu từ chối trả lại ngay số tiền bị đánh cắp.
Sàn giao dịch tiền điện tử ngay lập tức liên hệ với cơ quan thực thi pháp luật, coi tình huống này là một vụ án hình sự, trong khi công ty bảo mật mật mã khẳng định rằng đây là một thử nghiệm điển hình của “chương trình tiền thưởng”. Bây giờ số tiền dường như đã được trả lại.
Hãy cùng xem mọi thứ chi tiết dưới đây.
Vụ hack 3 triệu đô la nhằm vào sàn giao dịch tiền điện tử Kraken: Certik chịu trách nhiệm nhưng từ chối trả lại tiền
Câu chuyện này bắt đầu vào ngày 9 tháng 6 năm 2024, khi sàn giao dịch tiền điện tử Kraken nhận được liên lạc không chính thức từ một “nhà nghiên cứu bảo mật”, người tuyên bố đã phát hiện ra lỗ hổng trên nền tảng có thể gây ra một vụ hack quy mô lớn.
Như đã báo cáo trong một tweet sau khi khám nghiệm tử thi của Nick Percoco, Giám đốc An ninh của Kraken, nhà nghiên cứu đã nêu bật một lỗ hổng trong hệ thống bảo mật của tiền gửi (không thể phân biệt các trạng thái chuyển khoản nội bộ khác nhau), cho phép người dùng tăng số dư của họ và rút nhiều tiền hơn số tiền họ thực sự có sẵn. Sàn giao dịch ngay lập tức hành động để giải quyết vấn đề và chỉ trong 47 phút, một nhóm chuyên gia đã khắc phục được lỗi.
Đây là những gì Percoco đã báo cáo:
“Lỗi này cho phép kẻ tấn công độc hại, trong những trường hợp phù hợp, bắt đầu gửi tiền trên nền tảng của chúng tôi và nhận tiền vào tài khoản của họ mà không hoàn thành đầy đủ khoản tiền gửi. Nói rõ hơn, không có tài sản nào của khách hàng gặp rủi ro”
Cập nhật bảo mật Kraken:
Vào ngày 9 tháng 6 năm 2024, chúng tôi nhận được cảnh báo về chương trình Bug Bounty từ một nhà nghiên cứu bảo mật. Ban đầu không có thông tin cụ thể nào được tiết lộ, nhưng email của họ tuyên bố đã tìm thấy một lỗi “cực kỳ nghiêm trọng” cho phép họ tăng số dư một cách giả tạo trên nền tảng của chúng tôi.
- Nick Percoco (@c75) Ngày 19 tháng 6 năm 2024
Cho đến nay mọi thứ vẫn bình thường, ngoại trừ việc cùng một công ty bảo mật web3 nơi nhà nghiên cứu đã liên hệ với Kraken làm việc, trước khi chính thức báo cáo lỗi, đã thực hiện một số vụ hack trên nền tảng này với tổng số tiền là 3 triệu đô la.
Ngay sau khi bài đăng của Percoco được đăng tải, công ty kiểm toán nổi tiếng Certik đã ngay lập tức nhận trách nhiệm về vụ việc và tiết lộ vai trò quan trọng của mình trong vụ việc.
Certik bị cáo buộc đã “thử nghiệm” cơ chế phòng thủ của Kraken bằng cách thực hiện một cuộc tấn công quy mô lớn và rút số lượng lớn mã thông báo MATIC từ 3 tài khoản khác nhau, sau đó xóa dấu vết của tiền thông qua máy trộn Tornado Cash.
Theo giải thích của người quản lý bảo mật của sàn giao dịch, sau khi khắc phục sự cố, Kraken đã yêu cầu Certik trả lại tiền nhưng ban đầu cô từ chối.
Mặc dù vậy, Certik khẳng định rằng hoạt động của mình tuân thủ các nguyên tắc “hack trắng”.
Rõ ràng Certik đã không đề cập đến vai trò của kẻ khai thác 3 tài khoản trong vụ việc, mặc dù đã thực hiện các cuộc kiểm tra rút tiền trong 3 ngày trước khi liên lạc với Kraken.
Nhà nghiên cứu bảo mật phát hiện ra lỗi này lẽ ra sẽ yêu cầu một khoản tiền thưởng đáng kể vì đã xác định được một lỗ hổng lớn có thể dẫn đến một vụ hack nghiêm trọng, nhưng Kraken nhất quyết yêu cầu lấy lại tiền của họ.
Vì công ty kiểm toán từ chối trả lại chiến lợi phẩm và thực sự dường như đã cố gắng che giấu bằng chứng về vụ hack nên sàn giao dịch đã quyết định xử lý tình huống này như thể đây là một vụ án hình sự bằng cách thông báo cho cơ quan có thẩm quyền và cơ quan thực thi pháp luật.
Công ty bảo mật web3 đã yêu cầu trao đổi phần thưởng tiền thưởng bằng số tiền được suy đoán rằng lỗi này có thể gây ra nếu nó không được tiết lộ, khiến nhóm nền tảng trao đổi tức giận.
Percoco đã bình luận trên hồ sơ X của mình về những gì đã xảy ra, thể hiện tất cả sự phản đối của ông đối với hành vi của Certik:
“Đây không phải là hack trắng, đây là tống tiền”.
Chúng tôi sẽ không tiết lộ công ty nghiên cứu này vì họ không xứng đáng được ghi nhận cho hành động của mình. Chúng tôi đang coi đây là một vụ án hình sự và đang phối hợp với các cơ quan thực thi pháp luật. Chúng tôi rất biết ơn vì vấn đề này đã được báo cáo, nhưng suy nghĩ đó kết thúc ở đó.
- Nick Percoco (@c75) Ngày 19 tháng 6 năm 2024
Certik từ chối: tiền đã được trả lại mặc dù một số nhân viên đã nhận được những lời đe dọa từ nhóm Kraken
Certik, sau khi tự giới thiệu mình là công ty chịu trách nhiệm xác định lỗ hổng trong hệ thống tiền gửi, đã ngay lập tức phủ nhận những gì Kraken báo cáo, nhấn mạnh vai trò “hack trắng” và ý định tích cực của nó.
Công ty tiết lộ rằng họ đã thực hiện một vụ hack quy mô lớn, với số tiền 3 triệu đô la, chỉ nhằm mục đích kiểm tra khả năng phòng thủ của sàn giao dịch, nhưng họ cũng nhấn mạnh rằng họ không bao giờ từ chối trả lại chiến lợi phẩm mà chỉ muốn đảm bảo rằng mọi thứ đã được thực hiện chính xác.
Certik cho biết cô rất ngạc nhiên trước tác động tiêu cực tiềm ẩn mà lỗi này có thể gây ra, nhưng đặc biệt là thực tế là cảnh báo của Kraken chưa bao giờ được kích hoạt. Điều này đã được nêu trong một bài viết:
“Hàng triệu đô la có thể được gửi vào BẤT KỲ tài khoản Kraken nào. Một lượng lớn tiền điện tử (trị giá trên 1 triệu USD) có thể được rút khỏi tài khoản và chuyển đổi thành tiền điện tử hợp lệ. Tệ hơn nữa, trong thời gian thử nghiệm kéo dài nhiều ngày, không có cảnh báo nào được kích hoạt”.
Hơn nữa, công ty kiểm toán giải thích rằng một thành viên của nhóm trao đổi đã đe dọa nhà nghiên cứu của chính họ sẽ trả lại số tiền trong khung thời gian không hợp lý (6 giờ) mà không cung cấp địa chỉ trả nợ.
Điều này diễn ra vài ngày sau vụ hack, hai công ty đã có cuộc gọi để cố gắng tìm giải pháp và giải quyết vấn đề.
CertiK gần đây đã xác định một loạt lỗ hổng nghiêm trọng trong sàn giao dịch @krakenfx có khả năng gây thiệt hại hàng trăm triệu đô la.
Bắt đầu từ một phát hiện trong hệ thống tiền gửi của @krakenfx, nơi có thể không phân biệt được giữa các nội bộ khác nhau… pic.twitter.com/JZkMXj2ZCD
- Chứng nhận (@CertiK) Ngày 19 tháng 6 năm 2024
Rõ ràng, điều gây ra sự hỗn loạn là số tiền thưởng do Kraken đề xuất, được coi là không phù hợp với nỗ lực đã thực hiện và khả năng khai thác tiềm năng đã bị ngăn chặn. Theo báo cáo của người phát ngôn của Kraken với Coindesk:
“Chúng tôi thu hút những nhà nghiên cứu này một cách thiện chí và, sau một thập kỷ quản lý chương trình tiền thưởng lỗi, chúng tôi đã đưa ra một khoản tiền thưởng đáng kể cho những nỗ lực của họ. Chúng tôi thất vọng vì trải nghiệm này và hiện đang làm việc với cơ quan thực thi pháp luật để thu hồi tài sản từ các nhà nghiên cứu bảo mật này”.
Hôm nay Certik đã xuất bản một bài đăng khác với một số Câu hỏi thường gặp để làm rõ hơn quan điểm của họ và loại bỏ mọi nghi ngờ.
Công ty bảo mật nhắc lại rằng họ đã “liên tục” xác nhận rằng họ sẽ trả lại số tiền bị đánh cắp và tuyên bố rằng hiện tại tất cả số tiền đã về tay Kraken.
Số tiền này đã được gửi lại cho người gửi dưới dạng 734,19215 ETH, 29.001 USDT và 1021,1 XMR, trong khi sàn giao dịch đã yêu cầu rõ ràng gửi 155818,4468 MATIC, 907400,1803 USDT, 475,5557871 ETH và 1089,794737 XMR, với tổng giá trị tương đương lớn hơn khoảng 1 00.000 đô la .
Hỏi đáp về các hoạt động mũ trắng của CertiK-Kraken gần đây:
1. Có người dùng thực nào bị mất tiền không?
Không. Tiền điện tử được tạo ra từ không khí và không có tài sản thực sự nào của người dùng Kraken liên quan trực tiếp đến hoạt động nghiên cứu của chúng tôi.
2. Chúng tôi có từ chối trả lại tiền không?
Không. Trong giao tiếp của chúng tôi với…
- Chứng nhận (@CertiK) Ngày 20 tháng 6 năm 2024
Kraken vẫn giữ vững quan điểm đạo đức về “hack trắng” và khẳng định rằng hành vi bắt nạt do Certik thực hiện có thể được xác định là tống tiền.
Chương trình Bounty của sàn giao dịch thực sự yêu cầu các bên thứ ba tìm ra vấn đề, khai thác số tiền tối thiểu cần thiết để kiểm tra lỗi (không thực hiện vụ hack 3 triệu đô la), trả lại tài nguyên và cung cấp thông tin chi tiết về lỗ hổng.
