Сага про Kraken CertiK, у якій охоронна фірма CertiK стверджувала, що провела операцію білого капелюха з певними обліковими записами Kraken (а не клієнтами) і злила майже 3 мільйони доларів (за твердженням Kraken), отримала інший поворот. Біржа стверджувала, що загальна використана сума не була повернута їй, тоді як CertiK стверджує, що повернув усі кошти згідно з їхніми записами.
20 червня CertiK звернувся до X, щоб запропонувати оновлену інформацію про ситуацію та заявив, що вони повернули 734,19215 ефіру (ETH), 29 001 USDT і 1021,1 Monero (XMR), тоді як Kraken запитував 155818,4468 Polygon (MATIC), 907400,1803 USDT, 475,5557871 ETHі 1089,794737 XMR.
Kraken заявляє про експлойт, Certik каже про операцію білого капелюха
Сага Kraken-CertiK почалася 9 червня, коли Kraken заявив, що отримав сповіщення про програму баунті від передбачуваного дослідника безпеки. Попередження підкреслило помилку в системі Kraken, яка дозволяла користувачам завищувати баланс своїх рахунків. Криптовалютна біржа поспішила виправити помилку та виявила три облікові записи, які використовували недолік, і зняли 3 мільйони доларів з рахунку Kraken.
Kraken у своєму дослідженні виявив, що один із трьох облікових записів пройшов перевірку «Знай свого клієнта» (KYC), і обліковий запис скористався помилкою, щоб зарахувати 4 долари на свій рахунок.
Головний офіцер служби безпеки Kraken Нік Перкоко сказав, що цього було б достатньо, щоб довести помилку та отримати винагороду, але обліковий запис нібито потім поділився недоліком з двома іншими обліковими записами протягом кількох днів, і загалом три облікові записи привласнили 3 мільйони доларів ізобмін.
Коли криптовалютна біржа попросила передбачуваного «дослідника безпеки» повернути кошти та отримати винагороду після того, як надасть необхідні докази onchain, хакер, про якого йдеться, нібито відмовився задовольнити запити та попросив першим отримати винагороду. Хоча Kraken не розкрив назви охоронної фірми, що стоїть за експлойтом «білий капелюх», CertiK виявив, що це охоронна фірма, яка стоїть за експлойтом Kraken.
CertiK стверджував, що їхньому співробітнику, який виявив уразливість, погрожували повернути вкрадені кошти, не пропонуючи жодної адреси гаманця. Ronghui Gu, співзасновник CertiK, сказав Cointelegraph:
«Усний консенсус, досягнутий під час нашої зустрічі, не підтвердився згодом. Зрештою, вони публічно звинуватили нас у крадіжці і навіть прямо погрожували нашим співробітникам, що абсолютно неприпустимо».
Як повідомляється, CertIK надіслав вкрадену суму до служб змішування криптовалюти Tornado Cash, щоб уникнути заморожування на біржах криптовалюти. Цей крок викликав велику критику з боку криптовалютної спільноти, яка поставила під сумнів мотиви CertiK, що стояли за операціями «білого капелюха».
За темою: фішингові атаки на криптовалюту досягли «тривожного рівня» — співзасновник CertiK
спільнота криптовалют закликає CertiK
Криптовалютна спільнота підняла питання про те, чому дослідники CertiK перевели кошти на мільйони доларів, коли одна транзакція могла підтвердити вразливість. Інші нагадали їм, що Tornado Cash — це інструмент, санкціонований Управлінням контролю за іноземними активами OFAC, і його використання може спричинити юридичні проблеми для охоронної фірми. Інші сумнівалися, чи планували вони повернути кошти та чому вони відправили їх до санкціонованого OFAC міксера криптовалют.
Більшість криптовалютної спільноти стала на бік Kraken у цьому питанні та звинуватила CertiK у безжальній поведінці. Багато хто звинуватив їх у «крадіжці», а потім шантажував Кракена за винагороду.
Kraken сказав Cointelegraph, що вони зв’язуються з правоохоронними органами щодо цієї ситуації.
Оновлення: цю статтю буде оновлено коментарями від Kraken і CertiK.
