Firma zajmująca się bezpieczeństwem blockchain, CertiK, przyznała się do white-hat hackingu, który dotknął giełdę kryptowalut Kraken w środę, 19 czerwca.
CertiK bagatelizuje rzekome wymuszenie Kraken, argumentując, że nie przyznano mu wystarczająco dużo czasu na zwrot środków uzyskanych z oceny zakresu exploitu.
Odpowiedź CertiK na Zarzuty Kraken
Firma zajmująca się bezpieczeństwem on-chain odpowiedziała na zarzuty giełdy kryptowalut Kraken dotyczące wymuszenia. Nick Percoco, dyrektor ds. bezpieczeństwa w Kraken, wskazał, że giełda traktuje stratę prawie 3 milionów dolarów jako sprawę karną.
Percoco ujawnił, że Kraken współpracuje z agencjami egzekwowania prawa w celu odzyskania środków utraconych, gdy technicznie zaawansowani badacze wykorzystali “izolowany błąd”.
Obrona CertiK, Bagatelizowanie Zarzutów Wymuszenia
CertiK bronił swoich działań w poście na X (dawniej Twitter), wskazując, że Kraken wysunął groźby wobec jego pracowników. CertiK dodał, że całkowite żądania wartości przez Kraken nie odpowiadają kryptowalutom zabranym przez firmę bezpieczeństwa.
Ponadto CertiK argumentuje, że Kraken przyznał zbyt mało czasu na zwrot rzekomo skradzionych funduszy.
Percoco wcześniej wskazywał, że nieznani badacze byli odpowiedzialni za kradzież kryptowalut o wartości milionów dolarów z skarbca Kraken. Dyrektor ds. bezpieczeństwa wyjaśnił, że wycofali środki przypisane do konta przed zakończeniem wpłat, efektywnie “drukując” aktywa.
CertiK przyznał się do wielokrotnego wykorzystywania izolowanego błędu w celu zbadania zakresu luki bezpieczeństwa Kraken. Firma bezpieczeństwa twierdzi, że giełda kryptowalut nie podała adresu, na który mogła zwrócić skradzione środki.
Niemniej jednak CertiK ujawnił, że prześle kryptowaluty do portfela cyfrowego w swoich zapisach, należącego do Kraken.
White-Hat Hacking i Odpowiedź Kraken
White-hat hacking obejmuje etyczne praktyki technicznego manipulowania systemem w celu identyfikacji luk. Percoco wyjaśnił, że program bug bounty zgłoszony po exploicie nie przyniósł oczekiwanego rezultatu, ponieważ ujawnił tylko 4 dolary straconych kryptowalut.
Percoco dodał, że złośliwy aktor nie zgodziłby się na zwrot środków, dopóki kwota dolarowa nie oszacowałaby potencjalnych kosztów związanych z przeprowadzeniem exploitu.
Luka w Systemie Obronny Kraken
CertiK bronił swoich działań, wykluczając, że wybił kryptowaluty o wartości milionów dolarów z aktywów użytkowników. Zamiast tego, działania badawcze bezpośrednio celowały w skarbiec Kraken, co wcześniej przyznał Percoco, zapewniając o bezpieczeństwie funduszy użytkowników.
Założyciel MyCrypto, menedżer portfela Ethereum, Taylor Monahan, włączył się w spór Kraken kontra CertiK. Wykonawca, którego firma została przejęta dwa lata temu przez Consensys i wchłonięta w MetaMask, ostrzega przed konsekwencjami prawnymi.
Monahan ostrzega, że CertiK może ucierpieć na reputacji, a white-hat hacking wpłynie na kulturę wewnętrzną firmy zajmującej się bezpieczeństwem blockchain.
Były szef MyCrypto zilustrował, że kilka projektów audytowanych przez CertiK padło ofiarą exploitów. Obecna sprawa związana z Krakenem wywołała spekulacje na temat możliwości wewnętrznych działań w poprzednich incydentach.
CertiK odpowiedział na zarzuty Monahana, kwestionując, dlaczego zaawansowany system obronny, który rzekomo wykorzystuje Kraken, nie wykrył testowych transakcji. CertiK poinformował wykonawcę, że faktycznie testowali niedociągnięcia.
Kraken wskazał, że rozwiązał błąd, który umożliwiał użytkownikom platformy zarabianie darmowych pieniędzy na ich kontach. Firma przyznała w środę, 19 czerwca, że zespół odkrył “izolowany błąd” na początku tego miesiąca, który umożliwiał sztuczne zwiększanie sald.
Percoco przyznał, że zespół ds. bezpieczeństwa był tego świadomy po tym, jak badacz ds. bezpieczeństwa zgłosił program bug bounty 9 czerwca. Badacz określił to jako niezwykle krytyczny błąd.
Rzecznik Kraken, Alexander Cassells, przyznał, że funkcja była obecna od stycznia. Złośliwy aktor mógł ją wykorzystać do drukowania aktywów kryptowalutowych, zwiększając swoje salda.