Sàn giao dịch tiền điện tử Kraken đã xác nhận vào ngày 20 tháng 6 việc thu hồi gần 3 triệu đô la tài sản kỹ thuật số từ công ty bảo mật blockchain CertiK sau những cáo buộc tống tiền đã làm lu mờ vụ hack mũ trắng của họ.
Giám đốc An ninh của Kraken, Nick Percoco, đã đến gặp X để thông báo về việc trả lại tiền, trừ đi số tiền đã chi cho phí giao dịch.
Cập nhật: Bây giờ chúng tôi có thể xác nhận số tiền đã được trả lại (trừ một khoản nhỏ bị mất do phí). https://t.co/cHkjPt3m2A
- Nick Percoco (@c75) Ngày 20 tháng 6 năm 2024
CSO của Kraken lần đầu tiên báo cáo khoản tiền bị thiếu 3 triệu USD vào ngày 19 tháng 6, nói rằng một “nhà nghiên cứu bảo mật” đã cố tình rút chúng khỏi kho bạc sau khi phát hiện và tiết lộ một lỗi hiện có.
Kraken cáo buộc rằng nhà nghiên cứu bảo mật đã tống tiền họ, từ chối trả lại tiền và yêu cầu phần thưởng cùng với cuộc gọi với nhóm phát triển kinh doanh của sàn giao dịch.
CertiK làm sáng tỏ các cáo buộc
Ngay sau bài đăng của Kraken về số tiền bị thiếu, công ty bảo mật blockchain CertiK đã công khai tự nhận mình là “nhà nghiên cứu bảo mật” mà Kraken tuyên bố đã đánh cắp 3 triệu đô la tài sản kỹ thuật số.
Điều này được đưa ra nhằm nỗ lực thách thức các cáo buộc và xóa tan mọi quan niệm về mục đích xấu.
Trong một bài đăng X ngày 19 tháng 6, CertiK cho biết họ đã thông báo cho Kraken về một lỗ hổng cho phép họ lấy đi hàng triệu đô la khỏi tài khoản của sàn giao dịch. CertiK cũng tuyên bố đã bị đội ngũ của sàn giao dịch đe dọa.
“Sau những chuyển đổi thành công ban đầu trong việc xác định và khắc phục lỗ hổng bảo mật, nhóm vận hành bảo mật của Kraken đã ĐE DỌA từng nhân viên của CertiK phải hoàn trả một lượng tiền điện tử KHÔNG PHÙ HỢP trong một thời gian KHÔNG HỢP LÝ ngay cả khi KHÔNG cung cấp địa chỉ trả nợ,” CertiK cho biết.
Để làm rõ khía cạnh câu chuyện của họ, CertiK cũng đưa ra dòng thời gian của các sự kiện, bao gồm toàn bộ cuộc thảo luận, bắt đầu bằng việc xác định hành vi khai thác vào ngày 5 tháng 6.
Dòng thời gian của sự kiện
Tại sao họ rút 3 triệu USD?
CSO của Kraken ban đầu tuyên bố rằng giao dịch chuyển tiền độc hại đầu tiên, trị giá chỉ 4 USD, là đủ để chứng minh lỗi và kiếm được “phần thưởng lớn” từ chương trình tiền thưởng của Kraken.
Nhà nghiên cứu bảo mật, sau đó được tiết lộ là CertiK, thay vào đó đã đúc gần 3 triệu USD vào tài khoản Kraken của họ.
Trong một bài đăng X sau khi trả lại 3 triệu đô la, CertiK đã trả lời nhiều câu hỏi nổi bật xung quanh tình hình. Quan trọng nhất, họ đã giải thích lý do biện minh cho số tiền lớn.
“Chúng tôi muốn kiểm tra giới hạn bảo vệ và kiểm soát rủi ro của Kraken,” CertiK cho biết. “Sau nhiều lần thử nghiệm trong nhiều ngày và số tiền điện tử trị giá gần 3 triệu đô la, không có cảnh báo nào được kích hoạt và chúng tôi vẫn chưa tìm ra giới hạn.”
Hỏi đáp về các hoạt động mũ trắng của CertiK-Kraken gần đây:
1. Có người dùng thực nào bị mất tiền không?Không. Tiền điện tử được tạo ra từ không khí và không có tài sản thực sự nào của người dùng Kraken liên quan trực tiếp đến hoạt động nghiên cứu của chúng tôi.
2. Chúng tôi có từ chối trả lại tiền không? Không. Trong giao tiếp của chúng tôi với…
- Chứng nhận (@CertiK) Ngày 20 tháng 6 năm 2024
Ngoài ra, CertiK tuyên bố rằng họ không có ý định đưa tiền thưởng vào bức tranh; đó là một cái gì đó được đề cập trong cuộc trao đổi.
“Chúng tôi chưa bao giờ đề cập đến bất kỳ yêu cầu tiền thưởng nào,” CertiK nói. “Chính Kraken là người đầu tiên đề cập đến tiền thưởng của họ với chúng tôi, trong khi chúng tôi trả lời rằng tiền thưởng không phải là chủ đề ưu tiên và chúng tôi muốn đảm bảo vấn đề đã được khắc phục.”
CertiK nhấn mạnh rằng những nỗ lực của họ không gây thiệt hại cho bất kỳ người dùng Kraken nào. Các khoản tiền đã được “đúc ra từ không khí”.
Bất chấp tuyên bố vô tội của họ, tình huống này đã làm dấy lên cuộc tranh luận về bản chất của việc hack có đạo đức, các giao thức liên lạc phù hợp và cách xử lý thích hợp các lỗ hổng được phát hiện.
