Khi công ty kiểm toán tiền điện tử CertiK cho biết hôm thứ Tư rằng các nhân viên của họ đã phát hiện và khai thác một lỗi trong Kraken, sàn giao dịch của Hoa Kỳ, với số tiền 3 triệu USD.

Khi CertiK cho biết họ đã trả lại tiền cho sàn giao dịch Hoa Kỳ như một phần của hoạt động được gọi là mũ trắng, công ty đã vấp phải sự bất đồng quan điểm từ một người chơi đặc biệt khó chịu – Kraken.

“Đây không phải là hack mũ trắng, mà là tống tiền!” Nick Percoco, giám đốc an ninh của Kraken, cho biết trong một bài đăng X vào thứ Tư.

Percoco cho biết những người phát hiện ra lỗi cho biết họ sẽ không trả lại bất kỳ khoản tiền nào cho đến khi Kraken tiết lộ mức độ thiệt hại mà nó có thể gây ra.

CertiK không mất nhiều thời gian để trả lời tuyên bố của Kraken. “Họ công khai cáo buộc chúng tôi trộm cắp và thậm chí còn đe dọa trực tiếp nhân viên của chúng tôi, điều này hoàn toàn không thể chấp nhận được.”

Khoảng thời gian bất thường — và quy mô lên tới 3 triệu đô la — của cuộc khai thác của CertiK đã làm dấy lên một loạt câu hỏi. Thông thường, các cuộc kiểm tra mũ trắng về phòng thủ mạng sẽ lấy ra một số tiền tối thiểu chỉ để chứng minh lỗ hổng.

Michael Lewellen, người đứng đầu bộ phận giải pháp tại công ty kiểm toán cạnh tranh OpenZeppelin, nói với DL News: “Đó là một số tiền đáng kinh ngạc để khai thác mũ trắng”.

Lewellen cho biết các nhà nghiên cứu bảo mật đã bị sa thải vì loại hành vi này.

Ông nói: “Nếu một nhà nghiên cứu bảo mật tại bất kỳ công ty kiểm toán có uy tín nào khác thực hiện kiểu khai thác này, họ sẽ bị sa thải và bị từ chối ngay lập tức”.

“Bạn không bao giờ ăn cắp tiền từ khách hàng trừ khi có một số mối nguy hiểm trước mắt và không có thời gian để cảnh báo cho nhóm và thậm chí khi đó bạn đang gặp phải rủi ro lớn mà nhiều công ty kiểm toán không muốn chấp nhận vì những lý do này.”

‘Thời điểm bạn phát hiện ra điều gì đó không ổn, bạn phải nỗ lực vì sự an toàn của người dùng.’

Pascal Caversaccio, nhà nghiên cứu bảo mật

Pascal Caversaccio, một nhà nghiên cứu bảo mật độc lập, cho biết thật kỳ lạ khi quá trình thử nghiệm hệ thống Kraken của CertiK kéo dài nhiều ngày. Đáng lẽ nó phải được giải quyết trong vòng vài phút.

Ông nói với DL News: “Thời điểm bạn phát hiện ra điều gì đó không ổn, bạn phải nỗ lực vì sự an toàn của người dùng”. "Này là rất ngu ngốc. Không chỉ từ góc độ bảo mật mà còn từ góc độ kinh doanh.”

Có những bất thường khác.

Hồ sơ onchain cho thấy rằng một địa chỉ được liên kết với CertiK đã gửi tiền đến giao thức DeFi Tornado Cash, đã bị Văn phòng Kiểm soát Tài sản Nước ngoài (OFAC) của Bộ Tài chính Hoa Kỳ xử phạt.

Góc quay tiền mặt lốc xoáy

Mặc dù CertiK đã trả lại tài sản cho Kraken nhưng việc gửi một số thông qua Tornado Cash có thể vi phạm lệnh trừng phạt của Hoa Kỳ. Theo trang web của OFAC, hình phạt cho hành vi này có thể vượt quá vài triệu đô la.

Lewellen nói rằng việc sử dụng Tornado Cash để hack mũ trắng là điều kỳ quặc.

Ông nói: “Tôi chưa bao giờ nghe nói về một kẻ mũ trắng sử dụng Tornado Cash, đặc biệt là trước nguy cơ bị trừng phạt”. “Bạn thường không sử dụng Tornado Cash sau lệnh trừng phạt trừ khi bạn đã phạm tội và nguy cơ vi phạm lệnh trừng phạt là lớn hơn.”

Các phần khác của số tiền mà CertiK rút từ Kraken đã được gửi đến ChangeNOW, một sàn giao dịch tiền điện tử không yêu cầu kiểm tra thông tin khách hàng của bạn. CertiK cũng đã hoán đổi stablecoin USDT mà họ đã rút khỏi Kraken lấy ETH.

Taylor Monahan, một chuyên gia bảo mật tiền điện tử, cho biết trên X. “Nếu bạn là người mũ trắng, bạn không làm điều này”.

CertiK đã không trả lời ngay lập tức yêu cầu bình luận và chưa giải quyết công khai các giao dịch này.

Tim Craig là Phóng viên DeFi tại DL News. Có một mẹo? Gửi email cho anh ấy theo địa chỉ tim@dlnews.com.