Начальник службы безопасности криптобиржи Kraken Ник Перкоко заявил о том, что неизвестные обнаружили эксплойт на платформе и вывели с нее $3 млн в криптоактивах. Эксперты CertiK взяли на себя ответственность за эти действия, отметив, что искали уязвимость.
Позиция Kraken
Перкоко опубликовал свое заявление 19 июня 2024 года. Согласно ему, уведомление о потенциальном вознаграждении за обнаруженный баг поступило Kraken 9 июня.
Kraken Security Update:
On June 9 2024, we received a Bug Bounty program alert from a security researcher. No specifics were initially disclosed, but their email claimed to find an “extremely critical” bug that allowed them to artificially inflate their balance on our platform.
— Nick Percoco (@c7five) June 19, 2024
«Никакой конкретики изначально не раскрывалось, но в письме говорилось, что ошибка “чрезвычайно критическая”. Она якобы позволила завысить баланс на платформе», — отметил Перкоко.
В компании собрали команду для расследования инцидента. По словам Перкоко, изолированный баг удалось обнаружить за несколько минут. При этом, как утверждает представитель биржи, средства клиентов «никогда не были в зоне риска».
Проблему оперативно устранили, после чего якобы ее следов не осталось. Также сотрудникам Kraken удалось обнаружить, что три адреса воспользовались ситуацией и последовательно вывели криптоактивы с площадки.
При этом, как подчеркнул Перкоко, для получения вознаграждения по программе Kraken было достаточно зачислить $4 и уведомить биржу об эксплойте. Вместо этого держатели счетов вывели криптоактивы на общую сумму около $3 млн, отметил он.
«В свою очередь, мы попросили предоставить полный отчет об их деятельности, доказательства обнаруженного эксплойта и организовать возврат средств, которые они вывели. Это обычная практика для любой программы Bug Bounty. Эти исследователи безопасности отказались», — подчеркнул Перкоко.
Вместо заявленного вознаграждения группа, обнаружившая баг, потребовала сумму, сопоставимую с потенциальным ущербом от эксплойта. Перкоко назвал это «вымогательством».
Также он отметил, что игнорирование установленных правил фактически делает исследователей безопасности преступниками.
«Мы не будем раскрывать информацию об этой компании, поскольку она не заслуживает признания за свои действия. Мы рассматриваем это как уголовное дело и соответствующим образом координируем свои действия с правоохранительными органами», — подчеркнул Перкоко.
Позиция CertiK
В тот же день на странице компании в X (ранее Twitter) появился официальный ответ на заявление Kraken. В нем указано, что эксперты CertiK обнаружили уязвимость в платформе биржи, которая в перспективе могла привести к ущербу на «сотни миллионов долларов».
CertiK recently identified a series of critical vulnerabilities in @krakenfx exchange which could potentially lead to hundreds of millions of dollars in losses.
Starting from a finding in @krakenfx's deposit system where it may fail to differentiate between different internal… pic.twitter.com/JZkMXj2ZCD
— CertiK (@CertiK) June 19, 2024
Тут отметили, что Kraken не среагировала на обращение сразу же. Ответные действия биржи последовали только через несколько дней после того, как был составлен отчет.
Также в организации выразили возмущение дальнейшим поведением службы безопасности компании:
«После первых успешных конверсий, связанных с выявлением и устранением уязвимости, операционная команда безопасности Kraken ПОТРЕБОВАЛА от отдельных сотрудников CertiK возврата НЕСОВПАДАЮЩЕГО объема криптоактивов в НЕОБОСНОВАННОЕ время [шесть часов] даже БЕЗ предоставления адресов для возврата».
К публикации в CertiK приложили последовательность событий с указанием дат и времени, а также полный перечень адресов и сумм тестовых транзакций.
«Поскольку Kraken не предоставил адреса для погашения задолженности, а запрашиваемая сумма не совпадала с полученной, мы переводим средства на основании наших записей на счет, к которому Kraken сможет получить доступ», — подчеркнули в компании.
Также в CertiK акцентировали внимание на том, что система безопасности биржи не прошла проверку. Более того, она не обнаружила большое количество тестовых транзакций, заявили эксперты.
Реакция общественности
В сообществе поддержали Kraken. В частности, управляющий партнер фонда CEHV Адам Кокран назвал экспертов CertiK «преступниками»:
Holy shit.
Certik just admitted to being the security firm that stole from Kraken and is trying to extort them for more of a payment.
Given how often Certik audits get hacked and now this shit, it’s wild they still exist.
Down right criminal. https://t.co/Ijpv3x5Pxc
— Adam Cochran (adamscochran.eth) (@adamscochran) June 19, 2024
Аналогичный тезис высказал основатель проекта Rotki Лефтерис Карапетсас:
«Это выглядит как вымогательство. Этичные хакеры не держат средства в “заложниках”».
На момент написания новых подробностей по этому делу не было. Неизвестно, получила ли Kraken обратно выведенные средства.
