💬 Использование наличных денег от Tornado может усложнить защиту CertiK от претензий Kraken о «вымогательстве»

Использование наличных денег от Tornado может усложнить защиту CertiK от претензий Kraken о «вымогательстве»

Блокчейн-сыщики Crypto Twitter сосредоточили свое внимание на исследователях CertiK, которые, по-видимому, отправили средства в крипто-микшер, занесенный в черный список, после того, как получили их от Kraken в результате взлома, который, как утверждается, был «белой шляпой».

Руководитель службы безопасности криптовалютной биржи Ник Перкоко заявил в среду, что Kraken рассматривает потерю криптовалюты на сумму $3 млн как «уголовное дело». Группа, которая воспользовалась уязвимостью, которая была исправлена, смогла «фактически вывести активы на свой счет Kraken», написал он.

Скандал возник после того, как CertiK взяла на себя ответственность за эксплойт, утверждая, что он спас Kraken от огромных потерь. Компания защищалась, ссылаясь на время и общение как на факторы, которые задержали возврат средств, который, по ее словам, был неизбежен.

CSO Kraken раскритиковал ситуацию как «вымогательство», поскольку CertiK якобы не согласилась на немедленный возврат средств. Он также заявил, что CertiK не раскрыла объем изъятых активов, указав всего лишь 4 доллара, потерянных в результате отправленного вознаграждения за обнаружение ошибок.

Хотя известные эксперты по блокчейну первоначально выразили юридические опасения в отношении CertiK — выкачивая 3 миллиона долларов из казны Kraken, чтобы доказать эксплойт, — с тех пор возникли опасения по поводу санкций. Сотрудничество с запрещенным в США крипто-миксером Tornado Cash может стать «огромным бременем» для фирмы, написал в твиттере партнер Cinneamhain Ventures Адам Кокран.

На связь между взломом Kraken от CertiK и Tornado Cash впервые указал сетевой сыщик под псевдонимом Спрек, который привлек внимание к транзакциям в Твиттере (также известном как X). Исследователь сообщил Decrypt в письменном сообщении, что около 1100 MATIC (стоимостью 600 долларов на момент написания статьи) были отправлены в Tornado Cash с одного адреса CertiK.

просто тестирую некоторые денежные депозиты торнадо после тестирования функции вывода средств с кракена нужно убедиться, что оно все еще работает pic.twitter.com/PL4zi7GzSW – Сприк (@spreekaway) 19 июня 2024 г.

просто тестирую некоторые денежные депозиты торнадо после тестирования функции вывода средств с кракена

нужно убедиться, что оно все еще работает pic.twitter.com/PL4zi7GzSW

– Сприк (@spreekaway) 19 июня 2024 г.

В августе 2022 года правительство США внесло Tornado Cash в черный список, запретив американским гражданам совершать транзакции с помощью инструмента смешивания монет Ethereum. Несколько адресов кошельков Ethereum были добавлены в Список граждан особых категорий, который ведет Управление по контролю за иностранными активами (OFAC), подразделение Министерства финансов США.

В качестве оправдания такого шага правительство назвало частое использование Tornado Cash северокорейской хакерской группой Lazarus. В отчете, опубликованном в прошлом году платформой анализа угроз Recorded Future, говорится, что с 2017 года Лазарь украл криптовалюту на 3 миллиарда долларов.

Согласно веб-сайту CertiK, фирма по криптобезопасности, основанная в 2018 году, имеет штаб-квартиру в Нью-Йорке, а несколько офисов разбросаны по всему Западному побережью. Кроме того, у CertiK есть офисы в Европе, Африке и Азии.

OFAC не сразу ответило на запрос Decrypt о комментариях.

Tornado Cash, запущенный в 2019 году, представляет собой протокол, который позволяет пользователям маскировать происхождение и назначение своих транзакций, объединяя большие объемы криптовалюты.

Хотя исследователи CertiK отправили средства в Tornado Cash на Polygon, масштабирующую сеть Ethereum, похоже, что адрес депозита, используемый для взаимодействия с протоколом, все еще указан на веб-сайте OFAC, только под неправильной меткой, согласно Spreek.

CertiK отклонила запрос Decrypt на комментарий, сославшись на внутренние юридические процедуры, которые необходимо было завершить, прежде чем компания сможет обсудить этот вопрос.

Эксперт по безопасности блокчейна, пожелавший остаться анонимным, рассказывая о конкуренте, рассказал Decrypt, что исследователи всегда должны делать как можно меньше, чтобы доказать, что проект может быть использован, чего не было в случае с CertiK и его очевидным множеством возможностей. -Улов на миллион долларов.

«Нет никаких законных оснований брать эту сумму в качестве вознаграждения за обнаружение уязвимости», — сказал он в письменном заявлении. «Представьте себе сценарий, в котором люди взламывают банковское хранилище, крадут 3 миллиона долларов наличными, выходят на черный рынок и начинают отмывать деньги».

Обновление: теперь мы можем подтвердить, что средства были возвращены (за вычетом небольшой суммы, потерянной из-за комиссий). https://t.co/cHkjPt3m2A – Ник Перкоко (@c7five), 20 июня 2024 г.

Обновление: теперь мы можем подтвердить, что средства были возвращены (за вычетом небольшой суммы, потерянной из-за комиссий). https://t.co/cHkjPt3m2A

– Ник Перкоко (@c7five), 20 июня 2024 г.

Сумма средств, отправленных в Tornado Cash, кажется минимальной, написал он, однако предположив, что ее можно рассматривать как слишком незначительную для рассмотрения в контексте закона.

В четверг Percoco из Kraken написала, что потерянные средства были успешно возвращены, за исключением тех, которые были потеряны из-за комиссий за транзакции.

Под редакцией Эндрю Хейворда