Новини криптоміра

20.06.2024
15:10

Аудитор CertiK признался во взломе Kraken на $3 млн

19 июня криптовалютная биржа Kraken подверглась взлому, в ходе которого неизвестные похитили $3 млн. Оказалось, что за атакой стоял аудитор смарт-контрактов CertiK

В сети разгорелся скандал касательно того, что CertiK нашел уязвимость у Kraken и воспользовался этим. Представители аудитора дали официальный комментарий на все домыслы и слухи.

Покупайте криптовалюту только на проверенных площадках! Рассказали о лучших криптобиржах с выводом средств прямо на карту.

Что сказали эксперты CertiK

Еще до того, как стало известно о причастности ко взлому аудитора CertiK, директор по безопасности Kraken Ник Перкоко утверждал, что 9 июня биржа получила отчет о найденной уязвимости в рамках программы Bug Bounty.

Однако, по его словам, специалисты не поделились никакими подробностями. Вместо этого они решили воспользоваться багом и вывести с площадки $3 млн.

В ответ на ложные обвинения эксперты CertiK призналась, что тот самый отчет отправили именно они. Обнаруженная ими уязвимость могла привести к потерям на сотни миллионов долларов. В ходе расследования специалисты площадки по блокчейн-безопасности задавались тремя ключевыми вопросами:

  • Может ли злоумышленник подделать транзакцию депозита на аккаунт Kraken?
  • Может ли злоумышленник вывести поддельные средства?
  • Какие меры контроля и защиты активов могут быть активированы при крупном запросе на вывод средств?

Представители CertiK заявили, что торговая площадка провалила аудит. Система безопасности Kraken оказалась уязвимой по всем трем пунктам.

Читайте также: OKX потеряла более $633 млн из-за слухов об угрозе безопасности

Полный таймлайн конфликта CertiK и Kraken. Источник: X/CertiK

«Согласно результатам нашего тестирования, биржа Kraken не провалила все три теста; это свидетельствует о том, что система глубокой защиты площадки может быть скомпрометирована по нескольким направлениям. На ЛЮБОЙ счет Kraken можно перевести миллионы долларов. Огромное количество поддельных криптовалют (стоимостью более $1 млн) можно вывести со счета и конвертировать в настоящие криптовалюты. Что еще хуже, во время многодневного тестирования не появилось ни одного предупреждения. Kraken отреагировала и заблокировала тестовые счета только через несколько дней после того, как мы официально сообщили об инциденте», — написали эксперты.

После обнаружения уязвимости аудитор сообщил о результатах проверки команде по безопасности Kraken, которая классифицировала проблему как «критическую». Площадка успешно все исправила. Но вскоре возникли серьезные разногласия. Kraken обвинила CertiK в краже средств и потребовала вернуть деньги, угрожая сотрудникам компании.

«Команда по безопасности Kraken угрожала сотрудникам CertiK, требуя возврата несоответствующей суммы криптовалюты в неразумные сроки, даже не предоставив адреса для возврата. От устного соглашения, достигнутого во время нашей встречи, они впоследствии отказались. В итоге Kraken публично обвинила нас в краже и даже прямо угрожали нашим сотрудникам, что абсолютно неприемлемо», — рассказали представители CertiK в комментарии для BeInCrypto.

Команда аудитора вернула все средства Kraken. В посте специалисты подчеркнули, что средства клиентов биржи затронуты не были. Факт возврата средств подтвердил и Перкоко.

Криптосообщество критикует CertiK

Вопреки усилиям CertiK быть максимально прозрачными, криптосообщество обвинило специалистов площадки в непрофессионализме. Один из пользователей отметил, что отношение к этой истории было бы более позитивным, если бы аудитор вел себя дружелюбнее.

Разработчик Уттам Сингха подчеркнул, что эксперты CertiK совершили целый ряд транзакций и прождали пять дней перед тем, как раскрыть информацию. По его мнению, такой факт делает ситуацию еще более невыгодной для аудитора.

Один из ответов на твит с признанием CertiK. Источник: X/MarcusWalnut

По словам технического директора Cyvers Меира Долева, 24 мая адрес, связанный с CertiK, создал контракт в сети второго уровня (L2) Base. Это ставит под сомнение утверждения площадки о том, что эксперты обнаружили уязвимость 5 июня. Исходя из некоторых сообщений, сейчас этот адрес тестирует OKX и Coinbase на наличие такой же уязвимости, что у Kraken.

Читайте также: Хакеры обокрали пользователей OKX и Binance на $3 млн

Пользователи также обратили внимание на то, что украденные у торговой площадки средства аудитор отправил в криптовалютный миксер Tornado Cash. На это криптосообщество тоже отреагировало негативно. Одни стали сомневаться в реальных мотивах CertiK, другие — рассуждать о том, что такой шаг может навлечь на площадку лишние юридические проблемы.

Последние новости криптовалют, аналитика и прогнозы — все самое интересное в нашем Телеграм-канале. Подписывайтесь, чтобы не пропустить ничего важного.

The post Аудитор CertiK признался во взломе Kraken на $3 млн appeared first on BeInCrypto.