Криптовалютная биржа Kraken утверждает, что команда исследователей Web3-безопасности CertiK присвоила $3 млн, воспользовавшись обнаруженной ими уязвимостью. Представители CertiK утверждают, что проводили аудит безопасности криптобиржи, а сотрудники Kraken им угрожают и не желают выплачивать Bug Bounty.
Николас Перкоко, директор службы безопасности криптовалютной биржи Kraken, сообщил, что 9 июня анонимный белый хакер нашел критическую уязвимость и сообщил о ней бирже. Однако, проведя собственное расследование, разработчики биржи обнаружили, что баг был использован для вывода со счетов биржи цифровых активов стоимостью более $3 млн.
Согласно сообщению Перкоко, после вывода средств, белый хакер выдвинул требования выплаты вознаграждения за возврат украденных средств. По словам Николаса, это вымогательство, поскольку хакер отказался возвращать средства до тех пор, пока Kraken не согласится предоставить вознаграждение на сумму, эквивалентную «предполагаемому ущербу, который мог бы быть причинен, если бы баг не был раскрыт».
Позже оказалось, что за белым хакером стоит команда исследователей Web3-безопасности CertiK, представители которой публично заявили о причастности к инциденту. Согласно сообщению CertiK, их команда действительно обнаружила ряд критических уязвимостей, проводя анонимный аудит безопасности криптовалютной биржи Kraken.
В ответ на обвинения в краже $3 млн, выдвинутые в адрес их белых хакеров со стороны биржи, команда CertiK сообщила, что средства были выведены в результате тестирования защитной системы Kraken, которая оказалась скомпрометирована по нескольким направлениям. В частности, белым хакерам CertiK удалось в течение нескольких дней выводить средства со счетов Kraken, а система безопасности криптобиржи никоим образом не отреагировала на происходящее. При этом команда CertiK утверждает, что средства выводились не мелкими суммами, чтобы не привлекать внимание, а наоборот, крупными транзакциями.
Также команда CertiK утверждает, что служба безопасности Kraken отреагировала и заблокировала тестовые счета только через несколько дней после того, как они получили официальное уведомление об инциденте и уязвимости. В результате, вместо того, чтобы договориться о выплате Bug Bounty и процедуре возврата выведенных активов, операционная команда безопасности Kraken начала угрожать отдельным сотрудникам CertiK, а также требовать возврата средств, сумма которых не соответствовала реально выведенной в результате тестирования. Более того, команда Kraken в своих требованиях даже не предоставила адресов для возврата средств.
«Мы делаем это публично, чтобы защитить безопасность всех пользователей, и призываем Kraken прекратить любые угрозы в адрес белых хакеров», — утверждается в сообщении CertiK. Активы, выведенные в результате тестирования системы безопасности, команда белых хакеров уже перевела на счет, доступ к которому будет передан Kraken.
В то же время представители Kraken утверждают, что обратились к правоохранительным органам, чтобы вернуть активы. Также Перкоко уверяет, что уязвимость выявлена и полностью устранена, а выведенные активы взяты из казначейства биржи, то есть средства пользователей не пострадали.
Криптосообщество приняло сторону Kraken, охарактеризовав действия CertiK как не соответствующие поведению белых хакеров. Адвокат Адам Кокран даже выдвинул теорию о том, что за командой CertiK на самом деле скрываются хакеры Lazarus. Другие члены криптосообщества поддержали мнение Кокрана, утверждая, что белые хакеры не держат средства в заложниках, а также не проводят аудиты, о которых сообщают лишь спустя пять дней. С другой стороны, часть пользователей поддержала команду CertiK, назвав инцидент показательным аудитом.
Напомним, в начале текущего года в США была запущена некоммерческая организация Security Alliance, целью которой является объединение и поддержка белых хакеров в рамках противодействия киберпреступлениям.
UPD: 20 июня Николас Перкоко, подтвердил что белые хакеры CertiK вернули выведенную со счетов Kraken сумму, уточнив при этом, что она немного меньше изначальной из-за комиссионных издержек. При этом, согласно сообщению команды CertiK, сумма возвращенных средств не соответствует изначальным требованиям Kraken. Так, белые хакеры вернули 734 ETH, 29 000 USDT и 1021 XMR, в то время как биржа утверждала, что потеряла 155 818 MATIC, 907 400 USDT, 475 ETH и 1090 XMR. Что примечательно, команда CertiK также утверждает, что не требовала от криптобиржи вознаграждения, поскольку получение Bug Bounty не является приоритетом для работы команды.