Sàn giao dịch tiền điện tử Kraken cho biết họ đã lấy lại được tiền từ “các nhà nghiên cứu bảo mật” đã lấy đi 3 triệu USD từ nền tảng này trong năm nay.
“Cập nhật: Bây giờ chúng tôi có thể xác nhận số tiền đã được trả lại (trừ một khoản nhỏ bị mất do phí),” Nick Percoco, Giám đốc An ninh của Kraken, đã tweet vào thứ Năm.
Kraken lấy lại được tiền
Mặc dù Kraken lần đầu tiên từ chối xác định thủ phạm, nhưng các chuyên gia bảo mật blockchain tại CertiK đã tự nhận mình là kẻ đứng sau vụ hack vào thứ Tư.
Đầu ngày hôm đó, Percoco tiết lộ rằng Kraken gần đây đã vá một lỗi cho phép các cá nhân tinh vi về mặt kỹ thuật làm tăng số dư của họ trên nền tảng một cách giả tạo, cho phép họ đánh cắp bất kỳ số tiền nào từ sàn giao dịch kể từ tháng 1.
Các chuyên gia của CertiK đã thông báo cho họ về lỗ hổng này vào tháng 6, nhưng không phải trước khi rút 3 triệu USD từ Kho bạc Kraken như một minh chứng. Percoco làm rõ: “Trong vòng vài giờ, sự cố đã được khắc phục hoàn toàn và không thể tái diễn nữa”, đồng thời lưu ý rằng “không có tài sản nào của khách hàng gặp rủi ro”.
Mặc dù CertiK mô tả hành động của mình là hoạt động “mũ trắng” nhằm giúp củng cố tính bảo mật của Kraken, nhưng cách công ty thực hiện hành động của mình không phù hợp với Kraken cũng như cộng đồng tiền điện tử rộng lớn hơn.
Chúng bao gồm việc không tuân thủ các quy trình của chương trình tiền thưởng mũ trắng tiêu chuẩn của Kraken, chẳng hạn như không trả lại ngay lập tức tất cả số tiền sau khi bị đánh cắp và được cho là đã đánh cắp nhiều tiền hơn mức cần thiết để chứng minh lỗ hổng.
Theo Kraken, khi được yêu cầu trả lại tiền, CertiK đã từ chối rõ ràng cho đến khi được cung cấp ước tính số tiền có thể gặp rủi ro nếu công ty không xác định được lỗ hổng.
Lời giải thích của CertiK về vụ hack
Ngược lại, CertiK cho biết họ đã “luôn đảm bảo với họ rằng chúng tôi sẽ trả lại tiền”.
“Nhóm điều hành bảo mật của Kraken đã đe dọa từng nhân viên của CertiK phải hoàn trả một lượng tiền điện tử không khớp trong một thời gian không hợp lý ngay cả khi không cung cấp địa chỉ trả nợ,” CertiK tranh luận trên Twitter.
Công ty đã xác nhận vào thứ Năm rằng tất cả số tiền đã được trả lại, mặc dù với số tiền điện tử khác với số tiền mà Kraken đã yêu cầu. Nó cũng biện minh cho quy mô của cuộc tấn công là cần thiết để kiểm tra giới hạn cảnh báo và kiểm soát rủi ro của Kraken – điều vẫn chưa bao giờ xảy ra sau khi mất hàng triệu USD.
“Chúng tôi chưa bao giờ đề cập đến bất kỳ yêu cầu tiền thưởng nào,” CertiK nói thêm. “Chính Kraken là người đầu tiên đề cập đến tiền thưởng của họ với chúng tôi, trong khi chúng tôi trả lời rằng tiền thưởng không phải là chủ đề ưu tiên và chúng tôi muốn đảm bảo vấn đề đã được khắc phục.”
Bài đăng Kraken xác nhận việc trả lại tiền từ vụ hack “Whitehat” gây tranh cãi của CertiK xuất hiện đầu tiên trên CryptoPotato.
