• 19 июня Kraken сообщила о конфликте с этичными хакерами из-за обнаруженной уязвимости. 
• В компании заявили, что те отказались возвращать средства в объеме около $3 млн.
• CertiK взяла на себя ответственность за эту акцию. И тут ситуацию видят иначе. 
• Также компания пообещала отправить выведенную сумму на счет, к которому у Kraken есть доступ.

Начальник службы безопасности криптобиржи Kraken Ник Перкоко заявил о том, что неизвестные обнаружили эксплойт на платформе и вывели с нее $3 млн в криптоактивах. Эксперты CertiK взяли на себя ответственность за эти действия, отметив, что искали уязвимость. 

Позиция Kraken

Перкоко опубликовал свое заявление 19 июня 2024 года. Согласно ему, уведомление о потенциальном вознаграждении за обнаруженный баг поступило Kraken 9 июня. 

«Никакой конкретики изначально не раскрывалось, но в письме говорилось, что ошибка “чрезвычайно критическая”. Она якобы позволила завысить баланс на платформе», — отметил Перкоко.

В компании собрали команду для расследования инцидента. По словам Перкоко, изолированный баг удалось обнаружить за несколько минут. При этом, как утверждает представитель биржи, средства клиентов «никогда не были в зоне риска».

Проблему оперативно устранили, после чего якобы ее следов не осталось. Также сотрудникам Kraken удалось обнаружить, что три адреса воспользовались ситуацией и последовательно вывели криптоактивы с площадки. 

При этом, как подчеркнул Перкоко, для получения вознаграждения по программе Kraken было достаточно зачислить $4 и уведомить биржу об эксплойте. Вместо этого держатели счетов вывели криптоактивы на общую сумму около $3 млн, отметил он.

«В свою очередь, мы попросили предоставить полный отчет об их деятельности, доказательства обнаруженного эксплойта и организовать возврат средств, которые они вывели. Это обычная практика для любой программы Bug Bounty. Эти исследователи безопасности отказались», — подчеркнул Перкоко.

Вместо заявленного вознаграждения группа, обнаружившая баг, потребовала сумму, сопоставимую с потенциальным ущербом от эксплойта. Перкоко назвал это «вымогательством». 

Также он отметил, что игнорирование установленных правил фактически делает исследователей безопасности преступниками. 

«Мы не будем раскрывать информацию об этой компании, поскольку она не заслуживает признания за свои действия. Мы рассматриваем это как уголовное дело и соответствующим образом координируем свои действия с правоохранительными органами», — подчеркнул Перкоко.

Позиция CertiK

В тот же день на странице компании в X (ранее Twitter) появился официальный ответ на заявление Kraken. В нем указано, что эксперты CertiK обнаружили уязвимость в платформе биржи, которая в перспективе могла привести к ущербу на «сотни миллионов долларов». 

Тут отметили, что Kraken не среагировала на обращение сразу же. Ответные действия биржи последовали только через несколько дней после того, как был составлен отчет. 

Также в организации выразили возмущение дальнейшим поведением службы безопасности компании:

«После первых успешных конверсий, связанных с выявлением и устранением уязвимости, операционная команда безопасности Kraken ПОТРЕБОВАЛА от отдельных сотрудников CertiK возврата НЕСОВПАДАЮЩЕГО объема криптоактивов в НЕОБОСНОВАННОЕ время [шесть часов] даже БЕЗ предоставления адресов для возврата».

К публикации в CertiK приложили последовательность событий с указанием дат и времени, а также полный перечень адресов и сумм тестовых транзакций.

«Поскольку Kraken не предоставил адреса для погашения задолженности, а запрашиваемая сумма не совпадала с полученной, мы переводим средства на основании наших записей на счет, к которому Kraken сможет получить доступ», — подчеркнули в компании.

Также в CertiK акцентировали внимание на том, что система безопасности биржи не прошла проверку. Более того, она не обнаружила большое количество тестовых транзакций, заявили эксперты.

Реакция общественности

В сообществе поддержали Kraken. В частности, управляющий партнер фонда CEHV Адам Кокран назвал экспертов CertiK «преступниками»:

Аналогичный тезис высказал основатель проекта Rotki Лефтерис Карапетсас:

«Это выглядит как вымогательство. Этичные хакеры не держат средства в “заложниках”».

На момент написания новых подробностей по этому делу не было. Неизвестно, получила ли Kraken обратно выведенные средства.

Ранее мы сообщали о том, что эксперты CertiK обнаружили уязвимость в Telegram.