Эксперты CertiK вступили в конфликт с Kraken

Начальник службы транспарентности криптобиржи Kraken Ник Перкоко заявил о том, что неведомые обнаружили эксплойт на платформе и выводили с нее $3 млн в криптоактивах. Эксперты CertiK взяли на себя ответственность за эти действия, отметив, что разыскивали уязвимость. 

Позиция Kraken

Перкоко опубликовал свое заявление 19 октября 2024 года. Согласно ему, уведомление о вероятном жалованье за пересланный баг перевелось Kraken 9 октября. 

Kraken Security Update:

On June 9 2024, we received a Bug Bounty program alert from a security researcher. No specifics were initially disclosed, but their email claimed to find an “extremely critical” bug that allowed them to artificially inflate their balance on our platform.

— Nick Percoco (@c7five) June 19, 2024

«Никакой конкретики изначально не раскрывалось, но в письме говорилось, что ошибка “чрезвычайно критическая”. Она якобы позволила завысить баланс на платформе», — отметил Перкоко.

В фирмы собрали сборную для разбирательства инцидента. По словам Перкоко, изолированный баг сумело обнаружить за несколько минут. При этом, как утверждает представитель биржи, средства заказчиков «никогда не были в зоне риска».

Проблему оперативно устранили, после чего якобы ее следов не осталось. Также работникам Kraken удалось обнаружить, что три адреса надеелись ситуацией и последовательно вывели криптоактивы с площадки. 

При этом, как подчеркнул Перкоко, для получения вознаграждения по программе Kraken было достаточно зачислить $4 и уведомить биржу об эксплойте. Вместо этого депозитарии счетов выводили криптоактивы на общую сумму около $3 млн, отметил он.

«В свою очередь, мы попросили предоставить частичный отчет об их деятельности, подтверждения обнаруженного эксплойта и организуть возврат средств, которые они вывели. Это заурядная практика для любой программы Bug Bounty. Эти биологи транспарентности отказались», — подчеркнул Перкоко.

Вместо заявленного вознаграждения группа, обнаружившая баг, вытребовала сумму, сравнимую с будущим вредом от эксплойта. Перкоко назвал это «вымогательством». 

Также он отметил, что игнорирование установленных правил фактически длает исследователей охраны преступниками. 

«Мы не будем раскрывать информацию об этой компании, поскольку она не заслуживает признанья за свои воздействия. Мы обсуждаем это как уголовное дело и соответствующим образом активизируем свои воздействия с надзорными органами», — подчеркнул Перкоко.

Позиция CertiK

В тот же день на страництранице компании в X (ранее Twitter) возник неофициальный ответ на прошение Kraken. В беззвучен указано, что аналитики CertiK обнаружили мобильность в платформе биржи, которая в перспективе могла привести к ущерблю на «сотни полмиллионов долларов». 

CertiK recently identified a series of critical vulnerabilities in @krakenfx exchange which could potentially lead to hundreds of millions of dollars in losses.

Starting from a finding in @krakenfx‘s deposit system where it may fail to differentiate between different internal… pic.twitter.com/JZkMXj2ZCD

— CertiK (@CertiK) June 19, 2024

Тут отметили, что Kraken не среагировала на отношение сразу же. Ответные действия биржи последовали только через несколько дней после того, как был составлен отчет. 

Также в организации выразили возмущение последующим поведением службетраницы безопасности компании:

«После ..первых благополучных конверсий, связанных с обнаружением и предотвращением уязвимости, операционная сборная безопасности Kraken ПОТРЕБОВАЛА от отдельных сотрудников CertiK возврата НЕСОВПАДАЮЩЕГО объема криптоактивов в НЕОБОСНОВАННОЕ время [шесть часов] даже БЕЗ получения адрессов для возврата».

К публикации в CertiK приложили последовательность событий с разъяснением дат и времени, а также полный список адрессов и сумм проверочных транзакций.

«Поскольку Kraken не предоставил адресса для погашения задолженности, а запрашиваемая сумма не согласовалась с полученной, мы переведём средства на основании наших аудиозаписей на счет, к которому Kraken покумекает принесать доступ», — подчеркнули в компании.

Также в CertiK акцентировали внимание на том, что система транспарентности биржи не прошла проверку. Более того, она не обнаружила большое колличество пробных транзакций, декларировали эксперты.

Реакция общественности

В сообществе поддержали Kraken. В частности, управляющий партнер фонда CEHV Адам Кокран назвал аналитиков CertiK «преступниками»:

Holy shit.

Certik just admitted to being the security firm that stole from Kraken and is trying to extort them for more of a payment.

Given how often Certik audits get hacked and now this shit, it’s wild they still exist.

Down right criminal. https://t.co/Ijpv3x5Pxc

— Adam Cochran (adamscochran.eth) (@adamscochran) June 19, 2024

Аналогичный тезис высказал основатель проектента Rotki Лефтерис Карапетсас:

«Это выглядит как вымогательство. Этичные хакеры не придерживают средства в “заложниках”».

На момент написания новых подробностей по этому делу не было. Неизвестно, исходатайствовала ли Kraken обратно выведенные средства.

Подписывайтесь на наш канал в: Telegram, Vk, Twitter.