В этой статье мы говорим о невероятной истории: несколько дней назад аудиторская компания Certik обнаружила уязвимость в системах безопасности криптовалютной биржи Kraken, которая могла бы привести к серьезному взлому.
После проведения некоторых тестов в течение 3 дней и выполнения атаки «white hack» на 3 миллиона долларов, Certik связалась с Kraken, чтобы сообщить ему об ошибке, но изначально отказалась немедленно вернуть украденную сумму.
Криптообмен сразу связался с правоохранительными органами, рассматривая ситуацию как уголовное дело, в то время как криптографическая охранная фирма настаивает на том, что это типичный тест “bounty program”. Теперь средства, похоже, были возвращены.
Рассмотрим все детали ниже.
Summary
Взлом на 3 миллиона долларов против криптообменника Kraken: Certik ответственен, но отказывается вернуть деньги
Эта история начинается 9 июня 2024 года, когда криптообменник Kraken получает неформальное сообщение от “исследователя безопасности”, который утверждает, что обнаружил уязвимость на платформе , которая могла бы привести к крупному взлому.
Как сообщил в посмертном твите Ник Персоко, главный директор по безопасности Kraken, исследователь выявил уязвимость в системах безопасности депозитов (неспособность различать различные состояния внутреннего перевода), которая позволяет пользователям увеличивать свой баланс и снимать больше монет, чем у них есть на самом деле. Биржа сразу же приняла меры для решения проблемы, и всего за 47 минут команда экспертов смогла исправить bug.
Вот что сообщил Персоко:
«Ошибка позволила злоумышленнику, при определенных обстоятельствах, инициировать депозит на нашей платформе и получить средства на свой счет, не завершив полностью депозит. Для ясности, активы клиентов никогда не были под угрозой”
До сих пор все было в порядке, если бы не тот факт, что та же самая компания безопасности web3 , где работает исследователь, который связался с Kraken, до официального сообщения об ошибке совершила несколько взломов на платформе на общую сумму 3 миллиона долларов.
Сразу после публикации поста Персоко, известная аудиторская фирма Certik сразу взяла на себя ответственность за произошедшее и раскрыла свою решающую роль в этом деле.
Certik якобы «проверил» механизмы защиты Kraken, осуществив атаку в крупном масштабе и выведя большие количества токенов MATIC с 3 различных аккаунтов, а затем очистив следы средств через миксер Tornado Cash.
Как объяснил ответственный за безопасность биржи, после того как проблема была устранена, Kraken попросил Certik вернуть средства, но она изначально отказалась.
Несмотря на это, Certik настаивает на том, что его деятельность соответствует принципам “white hack”.
Судя по всему, Certik не упомянул роль 3 аккаунтов exploiter в произошедшем, несмотря на то, что они провели тесты на вывод средств за 3 дня до общения с Kraken.
Исследователь безопасности, который обнаружил баг, якобы потребовал значительное вознаграждение за обнаружение крупной уязвимости, которая могла бы привести к серьезной хакерской атаке, но Kraken настаивал на том, чтобы вернуть свои средства.
Поскольку компания по аудиту отказалась вернуть добычу и, более того, казалось, что она предприняла шаги для сокрытия доказательств взлома, биржа решила рассматривать ситуацию как уголовное дело, уведомив соответствующие органы и правоохранительные органы.
Веб3 компания безопасности попросила биржу выплатить премию bounty в размере, который этот баг мог бы вызвать, если бы он не был раскрыт, что привело в ярость команду платформы обмена.
Перко́ко прокомментировал на своем профиле X произошедшее, выразив все свое несогласие с поведением Certik:
“Это не white hacking, это вымогательство”.
Опровержение Certik: средства возвращены, несмотря на то, что некоторые сотрудники подверглись угрозам со стороны команды Kraken
Certik, после того как представила себя как компания, ответственная за выявление уязвимости в системах депозита, сразу опровергла рассказанное Kraken, подчеркнув свою роль “white hack” и свои положительные намерения.
Компания раскрыла, что организовала крупный взлом на сумму 3 миллиона долларов, только с целью тестирования защиты биржи, но также подчеркнула, что никогда не отказывалась вернуть добычу, а скорее хотела убедиться, что все было выполнено правильно.
Certik сказала, что была удивлена потенциальным негативным воздействием, которое могло бы вызвать ошибка, но особенно тем, что тревоги Kraken никогда не срабатывали. Это было заявлено в посте:
«Миллионы долларов могут быть депонированы на ЛЮБОЙ счет Kraken. Огромное количество криптовалюты (стоимостью более 1 M + USD) может быть снято со счета и конвертировано в действительные криптовалюты. Что еще хуже, в течение многодневного тестового периода не были активированы предупреждения».
Кроме того, аудиторская фирма объяснила, что один из членов команды биржи угрожал своему исследователю вернуть сумму в течение неразумного срока (6 часов), однако не предоставил адрес для repayment.
Это произошло после того, как через несколько дней после взлома, две компании связались по телефону, чтобы найти решение и урегулировать вопрос.
По всей видимости, то, что вызвало хаос, было размером премии bounty, предложенной Kraken, которая не была сочтена соответствующей затраченным усилиям и возможной предотвращенной уязвимости. Как сообщил представитель Kraken Coindesk:
«Мы привлекли этих исследователей в добросовестности и, в соответствии с десятилетием управления программой bug bounty, предложили значительное вознаграждение за их усилия. Мы разочарованы этим опытом и теперь работаем с правоохранительными органами, чтобы вернуть активы от этих исследователей безопасности».
Сегодня Certik опубликовал еще один пост с FAQ, чтобы еще больше прояснить свою позицию и развеять все сомнения.
Компания по безопасности вновь подтвердила, что она «последовательно» подтверждала, что вернет украденную сумму, и заявляет, что теперь все средства вернулись в руки Kraken.
Эти средства были отправлены отправителю в 734.19215 ETH, 29,001 USDT и 1021.1 XMR, в то время как биржа специально запросила отправить 155818.4468 MATIC, 907400.1803 USDT, 475.5557871 ETH и 1089.794737 XMR, на общую сумму более примерно 100.000 долларов.
Kraken остается верна своей концепции этики «white hacking» и утверждает, что буллинг, осуществляемый Certik, можно идентифицировать как вымогательство.
Программа Bounty биржи действительно требует от третьих лиц найти проблему, использовать минимально необходимую сумму для проверки бага (без выполнения взлома на 3 миллиона долларов), вернуть ресурсы и предоставить детали уязвимости.
