Как исследователь с опытом работы в сфере криптовалют и кибербезопасности, я нахожу инцидент с Kraken-CertiK одновременно интригующим и тревожным. Хотя кажется, что CertiK обнаружила критические уязвимости в системах Kraken, методы, которые они использовали для тестирования этих уязвимостей, вызвали горячие споры.
Как аналитик по безопасности, я бы интерпретировал точку зрения Кракена как утверждение, что Сертик действовал слишком агрессивно. Однако Certik утверждает, что их масштабные действия по выводу войск были необходимы для точной оценки масштабов рассматриваемой проблемы.
На прошлой неделе Kraken обнаружил, что серьезная ошибка позволила экспертам по безопасности ложно увеличить свои отчетные балансы и необоснованно вывести около 3 миллионов долларов.
9 июня 2024 г. мы получили уведомление от исследователя безопасности в нашей программе Bug Bounty. Сначала они не раскрыли никаких подробностей, но заявили, что обнаружили «крайне критическую» ошибку, которая позволила им несправедливо увеличить баланс своего аккаунта на нашей платформе.
— Ник Перкоко (@c7five), 19 июня, 2024 год
Как аналитик, я нашел событие, связанное с обменом криптовалютами и взаимодействием фирмы, занимающейся кибербезопасностью, весьма необычным. Эта аномальная ситуация вызвала острую словесную конфронтацию между двумя сторонами.
Ник Перкоко, старший офицер службы безопасности Kraken, начал с сообщения об обнаружении уязвимости, которая позволяла злонамеренным пользователям незаконно переводить средства на счет.
Как исследователь, я столкнулся с инцидентом, который потребовал 47 минут для устранения первоначальных симптомов, а затем несколько часов для его полного устранения. Этот процесс показался мне типичным и стандартным в моей работе.
Перкоко добавил, что исследователь безопасности проинформировал двух коллег о проблеме, что позволило им незаконно присвоить средства компании на миллионы.
Kraken запросил информацию о том, как был реализован эксплойт, и стремился полностью восстановить средства, однако заявил, что их усилия были отклонены биржей.
«Вместо того, чтобы вернуть деньги, они настояли на разговоре со своей командой по развитию бизнеса и не согласились сделать это до тех пор, пока мы не предоставим примерную цифру ущерба, который могла бы нанести эта ошибка, если бы ее не разглашали. Это неэтично. хакерство; это вымогательство.»
Ник Перкоко
Percoco утверждала, что исследователи превысили намеченные рамки программы вознаграждения за обнаружение ошибок, извлекая лишнюю информацию, не представили работающую демонстрацию и задержали возврат присужденных денег.
Как аналитик, я размышлял над сложившейся ситуацией. Может быть, некогда этичный хакер сбился с пути и теперь занимается злонамеренной деятельностью против Кракена? Или, возможно, кто-то пытался вымогать деньги у биржи, угрожая сорвать ее работу? Альтернативно, это могло быть полностью уголовным делом. Независимо от мотивации, было крайне важно собрать больше информации и оценить потенциальное влияние на Kraken и его пользователей.
CertiK делает шаг вперед
История принимает неожиданный поворот. Возможно, вы подумали, что эту схему разработал умный подросток, спрятавшийся в своей спальне. На самом деле его выполнила CertiK — видная фигура в сообществе аудиторов Web3.
Через три часа после публикации Percoco об X компания опубликовала отчет о том, что произошло.
Недавно компания CertiK обнаружила несколько крупных уязвимостей в бирже KrakenFX, эксплуатация которых может привести к финансовым потерям на общую сумму в сотни миллионов долларов. Первоначально проблемы были обнаружены в депозитной системе KrakenFX, где она не могла эффективно различать различные внутренние транзакции.
— CertiK (@CertiK), 19 июня 2024 г.
В течение нескольких дней подряд внутренние тесты Kraken не выявляли никаких проблем, в результате чего их команда безопасности приняла меры только после того, как была проинформирована об уязвимости.
«После первоначального успеха в устранении выявленной уязвимости команда безопасности Kraken, как сообщается, потребовала, чтобы конкретные сотрудники CertiK вернули непостоянное количество криптовалюты в неоправданно короткие сроки, не раскрывая никаких адресов погашения.»
CertiK
CertiK также призвала Kraken «прекратить любые угрозы в адрес хакеров в белой шляпе».
Днем позже появилась ветка с ответами на вопросы о своем исследовании.
<р>1. Были ли затронуты средства каких-либо реальных пользователей в ходе наших недавних расследований CertiK-Kraken?— CertiK (@CertiK), 20 июня 2024 г.
Я хочу уточнить, что ни один из клиентов Kraken не понес финансовых потерь во время недавнего инцидента. CertiK, со своей стороны, выполнила свои обязательства и обеспечила возврат средств. Единственным предметом разногласий была точная сумма задолженности биржи.
Объясняя, почему компания решила использовать уязвимость в таких масштабах, компания добавила:
«Наша цель — довести защитные меры и меры контроля рисков Kraken до максимальной мощности. За несколько дней и почти три миллиона долларов в криптовалютных транзакциях нам так и не удалось получить ответ от системы, поэтому мы не уверены в том, где это произошло. ограничьте ложь.»
CertiK
Как аналитик, я внимательно изучал ситуацию между CertiK и Kraken. Похоже, что CertiK запросила у Kraken разъяснений относительно потенциальных убытков, которые мошенник мог бы понести, если бы его вредоносная деятельность продолжалась беспрепятственно.
Компания по кибербезопасности заявила, что программа вознаграждений за обнаружение ошибок не стоит в их повестке дня, и все сделки, касающиеся их деятельности по тестированию, стали общедоступными.
Всемогущая словесная война
На X было немало разногласий по поводу того, кто прав, а кто нет.
Более ясным и разговорным способом выразить это предложение можно было бы так: «Важным вопросом является понимание того, почему такая большая сумма была использована во время тестирования в ситуации, когда доверие имеет первостепенное значение. Было бы разумно проконсультироваться с юристом, прежде чем продолжаю публиковать дальнейшие сообщения».
— Seeb $LSS BULL (@crypto_seeb) 19 июня 2024 г.
Три миллиона долларов — ничто по сравнению с огромными последствиями взлома банкротства. Тот факт, что уязвимость Kraken с двойной буквой L стала достоянием общественности, а не была незаметно устранена анонимными пользователями, значительно обострил ситуацию.
—everhusk (@everhusk) 19 июня 2024 г.
Как аналитик, я могу перефразировать обоснование CertiK следующим образом: чтобы обеспечить эффективность внутренних флагов Kraken, мне пришлось инициировать массовый вывод средств в рамках тщательного процесса проверки.
Недавние разногласия между предприятиями криптовалютной индустрии, которые, похоже, были урегулированы извне, обнажают скрытую напряженность и разногласия. Эта напряженность существует не только между самими предприятиями, но и между ними и специалистами по кибербезопасности, которые стремятся обеспечить их безопасность.
Как исследователь, исследующий этические границы белого хакерства, я размышляю над необходимостью более единого консенсуса относительно правил, регулирующих эту практику. Я спрашиваю себя, оправданно ли в определенных сценариях использование «белыми шляпами» крупномасштабных эксплойтов для защиты от потенциальных будущих катастроф?
В гипотетическом сценарии, когда сеть Ronin предотвратила одно из крупнейших ограблений криптовалюты, что привело к предотвращению кражи 625 миллионов долларов, вы можете оправдать временную потерю нескольких миллионов, если это необходимо.
Независимо от принятой точки зрения, это событие служит неприятным сигналом тревоги о том, что важные биржи могут таить в себе необнаруженные недостатки, потенциально ставя под угрозу сбережения обычных инвесторов, полагающихся на эти торговые площадки для хранения активов.
Смотрите также
- Будущее Casper Network: прогнозы цены на криптовалюту CSPR
- Будущее Neiro: прогнозы цены на криптовалюту NEIRO
- Будущее ApeCoin: прогнозы цены на криптовалюту APE
- Будущее Smoking Chicken Fish: прогнозы цены на криптовалюту SCF
- Будущее Turbo: прогнозы цены на криптовалюту TURBO
- Будущее WUFFI: прогнозы цены на криптовалюту WUF
- Будущее Saga: прогнозы цены на криптовалюту SAGA
- Будущее ShapeShift FOX: прогнозы цены на криптовалюту FOX
- Будущее Billy: прогнозы цены на криптовалюту BILLY
- Будущее Virtuals Protocol: прогнозы цены на криптовалюту VIRTUAL
2024-06-26 13:46