💬 Kraken против CertiK: кто прав после саги об эксплойтах на 3 миллиона долларов?

Kraken против CertiK: кто прав после саги об эксплойтах на 3 миллиона долларов?

Kraken утверждает, что CertiK был чрезмерным, но фирма по кибербезопасности настаивает, что для определения масштаба проблемы были необходимы крупномасштабные изъятия средств.

На прошлой неделе Kraken объявил, что критическая ошибка позволила исследователям безопасности искусственно завысить свой баланс и вывести почти 3 миллиона долларов.

Обновление безопасности Kraken: 9 июня 2024 г. мы получили оповещение о программе Bug Bounty от исследователя безопасности. Изначально никаких подробностей не было раскрыто, но в их электронном письме говорилось, что они обнаружили «чрезвычайно критическую» ошибку, которая позволила им искусственно раздуть свой баланс на нашей платформе. — Ник Перкоко (@c7five) 19 июня 2024 г.

Обновление безопасности Kraken. 9 июня 2024 года мы получили предупреждение программы Bug Bounty от исследователя безопасности. Никаких подробностей изначально не разглашалось, но в их электронном письме утверждалось, что они обнаружили «чрезвычайно критическую» ошибку, которая позволила им искусственно завысить свой баланс на нашей платформе.

Но во всем этом инциденте было что-то невероятно необычное, и в итоге это спровоцировало словесную войну между криптобиржей и крупной фирмой по кибербезопасности.

Начальник службы безопасности Kraken Ник Перкоко начал работу с объявления о том, что была обнаружена уязвимость, позволяющая злоумышленникам печатать средства на счете.

На устранение проблемы ушло 47 минут, а на ее полное устранение — несколько часов. Пока что все это кажется вполне нормальным и рутинным.

Но Percoco еще больше обострила ситуацию, заявив, что вовлеченный в дело исследователь безопасности рассказал о проблеме двум своим коллегам, что позволило им присвоить средства компании на миллионы.

Он сказал, что Kraken запросил подробную информацию о том, как был получен эксплойт, и пытался организовать полный возврат средств, но заявил, что обмен был отклонен.

«Вместо этого они потребовали звонка своей команде по развитию бизнеса (то есть своим торговым представителям) и не согласились вернуть какие-либо средства, пока мы не предоставим предполагаемую сумму в долларах, которую могла бы вызвать эта ошибка, если бы они ее не раскрыли. Это не хакерство, это вымогательство!» Ник Перкоко

«Вместо этого они потребовали звонка своей команде по развитию бизнеса (то есть своим торговым представителям) и не согласились вернуть какие-либо средства, пока мы не предоставим предполагаемую сумму в долларах, которую могла бы вызвать эта ошибка, если бы они ее не раскрыли. Это не хакерство, это вымогательство!»

Перкоко продолжил утверждать, что исследователи не работали в рамках программы вознаграждения за обнаруженные ошибки, поскольку извлекли гораздо больше, чем требовалось, не предоставили доказательств концепции и не вернули деньги немедленно.

Так что же здесь происходит? Был ли это хакер в белой шляпе, пробивающийся на темную сторону? Кто-то хочет выкупить Кракена? Уголовное дело?

CertiK делает шаг вперед

Здесь история принимает необычный поворот. Вы могли бы предположить, что подвиг был организован умным подростком, запертым где-то в своей спальне. На самом деле ее провела компания CertiK — один из крупнейших аудиторов в пространстве Web3.

Всего через три часа после сообщения Percoco на X компания выступила со своей собственной версией событий.

CertiK недавно выявила ряд критических уязвимостей на бирже @krakenfx, которые потенциально могут привести к убыткам в сотни миллионов долларов. Начиная с обнаружения в депозитной системе @krakenfx, где она может не различать различные внутренние… pic.twitter.com/ JZkMXj2ZCD – CertiK (@CertiK) 19 июня 2024 г.

CertiK недавно выявила ряд критических уязвимостей на бирже @krakenfx, которые потенциально могут привести к убыткам в сотни миллионов долларов. Начиная с обнаружения в депозитной системе @krakenfx, где она может не различать различные внутренние… pic.twitter.com/ JZkMXj2ZCD

В нем говорится, что многодневные тесты не выявили никаких тревожных сигналов во внутренних системах Kraken — это означает, что команда безопасности биржи вмешалась только после того, как ей сообщили об уязвимости.

«После первоначальных успешных преобразований по выявлению и устранению уязвимости оперативная группа безопасности Kraken УГРОЗИЛА отдельным сотрудникам CertiK выплатить НЕСООТВЕТСТВЕННОЕ количество криптовалюты в НЕОБЫЧНЫЕ сроки, даже БЕЗ предоставления адресов погашения». СертиК

«После первоначальных успешных преобразований по выявлению и устранению уязвимости оперативная группа безопасности Kraken УГРОЗИЛА отдельным сотрудникам CertiK выплатить НЕСООТВЕТСТВЕННОЕ количество криптовалюты в НЕОБЫЧНЫЕ сроки, даже БЕЗ предоставления адресов погашения».

CertiK призвал Kraken «прекратить любые угрозы в адрес белых хакеров».

Днем позже появилась ветка с ответами на вопросы о своем исследовании.

Вопросы и ответы по недавним операциям CertiK-Kraken whitehat: 1. Потерял ли кто-нибудь реальный пользователь средства? Нет. Криптовалюты были созданы из воздуха, и никакие активы реальных пользователей Kraken не принимали непосредственного участия в нашей исследовательской деятельности. Мы отказались вернуть средства? Нет. В нашем общении с… – CertiK (@CertiK) 20 июня 2024 г.

Вопросы и ответы по недавним операциям CertiK-Kraken whitehat: 1. Потерял ли кто-нибудь реальный пользователь средства? Нет. Криптовалюты были созданы из воздуха, и никакие активы реальных пользователей Kraken не принимали непосредственного участия в нашей исследовательской деятельности. Мы отказались вернуть средства? Нет. В нашем общении с…

Подчеркнув, что ни один из клиентов Kraken не потерял деньги, CertiK подчеркнула, что «постоянно заверяла» компанию, что деньги будут возвращены, и так оно и было. Единственный камень преткновения? Разногласия по поводу суммы фактической задолженности по обмену.

Объясняя, почему компания решила использовать уязвимость в таких масштабах, компания добавила:

«Мы хотим проверить пределы защиты Kraken и контроля рисков. После нескольких тестов в течение нескольких дней и криптовалюты на сумму около трех миллионов, никаких предупреждений не было, и мы до сих пор не выяснили предел». СертиК

«Мы хотим проверить пределы защиты Kraken и контроля рисков. После нескольких тестов в течение нескольких дней и криптовалюты на сумму около трех миллионов, никаких предупреждений не было, и мы до сих пор не выяснили предел».

Читая между строк, кажется, что CertiK хотела получить от Кракена ответы о том, какую сумму мог бы получить настоящий мошенник, если бы он продолжал действовать.

Компания по кибербезопасности продолжила утверждать, что вознаграждение за обнаружение уязвимостей находится далеко не в списке ее приоритетов, а все транзакции, связанные с ее тестами, стали достоянием общественности.

Всемогущая война слов

На X было немало разногласий по поводу того, кто прав, а кто нет.

Настоящий вопрос должен заключаться в том, почему вы использовали непристойное количество в рамках своего тестирования в роли, где доверие является самым важным элементом. Возьмите L и прекратите твитить без юридической консультации. — Seeb $LSS BULL (@crypto_seeb) 19 июня 2024 г.

Реальный вопрос должен заключаться в том, почему вы использовали непристойную сумму в рамках своего тестирования в роли, где доверие является наиболее важным элементом. Возьмите букву L и перестаньте писать в Твиттере без юридической консультации.

3 миллиона долларов — это копейки по сравнению с масштабами потенциального банкротства. Double L от Kraken превратил это в публичную проблему вместо того, чтобы просто поблагодарить бога, аноны не воспользовались этим. — Everhusk (@everhusk) 19 июня 2024 г.

3 миллиона долларов — это копейки по сравнению с масштабами потенциального банкротства. Double L от Kraken превратил это в публичную проблему вместо того, чтобы просто поблагодарить бога, аноны не воспользовались этим.

Аргумент CertiK сводится к следующему: ей необходимо было произвести астрономически большие выводы средств, чтобы проверить, будет ли какое-либо из них в конечном итоге отмечено внутренними системами Kraken.

Ссора, которая теперь, кажется, разрешилась на первый взгляд, подчеркивает некоторую напряженность между предприятиями в криптопространстве и исследователями кибербезопасности, которым поручено держать их под контролем.

Нужно ли достичь большего согласия по поводу правил взаимодействия? Существуют ли когда-нибудь случаи, когда крупномасштабные атаки хакеров в белой шляпе оправданы, поскольку они могут предотвратить что-то более катастрофическое в будущем?

Если бы это произошло с сетью Ronin Network, которая помогла предотвратить одно из величайших крипто-ограблений всех времен, в результате которого было украдено 625 миллионов долларов, вы, вероятно, стали бы утверждать, что временная кража нескольких миллионов долларов была бы оправдана.

Как бы вы ни смотрели на этот инцидент, он является болезненным напоминанием о том, что на крупных биржах могут быть обнаружены ошибки, которые еще предстоит обнаружить, что представляет риск для обычных инвесторов, использующих эти торговые платформы для хранения своих средств.