• 19 червня Kraken повідомила про конфлікт з етичними хакерами через виявлену вразливість.
• У компанії заявили, що ті відмовилися повертати кошти в обсязі близько $3 млн.
• CertiK взяла на себе відповідальність за цю акцію. І тут ситуацію бачать інакше.
• Також компанія пообіцяла відправити виведену суму на рахунок, до якого у Kraken є доступ.

Начальник служби безпеки криптобіржі Kraken Нік Перкоко заявив про те, що невідомі виявили експлойт на платформі і вивели з неї $3 млн у криптоактивах. Експерти CertiK взяли на себе відповідальність за ці дії, зазначивши, що шукали вразливість.

Позиція Kraken

Перкоко опублікував свою заяву 19 червня 2024 року. Згідно з нею, повідомлення про потенційну винагороду за виявлений баг надійшло Kraken 9 червня.

«Жодної конкретики спочатку не розкривали, але в листі йшлося, що помилка “надзвичайно критична”. Вона нібито дозволила завищити баланс на платформі», — зазначив Перкоко.

У компанії зібрали команду для розслідування інциденту. За словами Перкоко, ізольований баг вдалося виявити за кілька хвилин. При цьому, як стверджує представник біржі, кошти клієнтів «ніколи не були в зоні ризику».

Проблему оперативно усунули, після чого нібито її слідів не залишилося. Також співробітникам Kraken вдалося виявити, що три адреси скористалися ситуацією і послідовно вивели криптоактиви з майданчика.

При цьому, як підкреслив Перкоко, для отримання винагороди за програмою Kraken було достатньо зарахувати $4 і повідомити біржу про експлойт. Замість цього власники рахунків вивели криптоактиви на загальну суму близько $3 млн, зазначив він.

«Зі свого боку, ми попросили надати повний звіт про їхню діяльність, докази виявленого експлойта й організувати повернення коштів, які вони вивели. Це звичайна практика для будь-якої програми Bug Bounty. Ці дослідники безпеки відмовилися», — підкреслив Перкоко.

Замість заявленої винагороди група, яка виявила баг, зажадала суму, яку можна порівняти з потенційними збитками від експлойта. Перкоко назвав це «вимаганням».

Також він зазначив, що ігнорування встановлених правил фактично робить дослідників безпеки злочинцями.

«Ми не будемо розкривати інформацію про цю компанію, оскільки вона не заслуговує на визнання за свої дії. Ми розглядаємо це як кримінальну справу і відповідним чином координуємо свої дії з правоохоронними органами», — наголосив Перкоко.

Позиція CertiK

Того ж дня на сторінці компанії в X (раніше Twitter) з’явилася офіційна відповідь на заяву Kraken. У ній зазначено, що експерти CertiK виявили вразливість у платформі біржі, яка в перспективі могла призвести до збитків на «сотні мільйонів доларів».

Тут зазначили, що Kraken не зреагувала на звернення відразу ж. Відповідні дії біржі відбулися тільки через кілька днів після того, як було складено звіт.

Також в організації висловили обурення подальшою поведінкою служби безпеки компанії:

«Після перших успішних конверсій, пов’язаних із виявленням та усуненням уразливості, операційна команда безпеки Kraken ВИМАГАЛА від окремих співробітників CertiK повернення НЕВІДПОВІДНОГО обсягу криптоактивів у НЕОБҐРУНТОВАНИЙ час [шість годин] навіть БЕЗ надання адрес для повернення».

До публікації в CertiK доклали послідовність подій із зазначенням дат і часу, а також повний перелік адрес і сум тестових транзакцій.

«Оскільки Kraken не надала адреси для погашення заборгованості, а запитувана сума не збігалася з отриманою, ми переказуємо кошти на підставі наших записів на рахунок, до якого Kraken зможе отримати доступ», — підкреслили в компанії.

Також у CertiK акцентували увагу на тому, що система безпеки біржі не пройшла перевірку. Ба більше, вона не виявила велику кількість тестових транзакцій, заявили експерти.

Реакція громадськості

У спільноті підтримали Kraken. Зокрема, керуючий партнер фонду CEHV Адам Кокран назвав експертів CertiK «злочинцями»:

Аналогічну тезу висловив засновник проєкту Rotki Лефтеріс Карапетсас:

«Це виглядає як вимагання. Етичні хакери не тримають кошти в “заручниках”».

На момент написання нових подробиць у цій справі не було. Невідомо, чи отримала Kraken назад виведені кошти.

Раніше ми повідомляли про те, що експерти CertiK виявили вразливість у Telegram.