19 июня криптовалютная биржа Kraken подверглась взлому, в ходе которого неизвестные похитили $3 млн. Оказалось, что за атакой стоял аудитор смарт-контрактов CertiK
В сети разгорелся скандал касательно того, что CertiK нашел уязвимость у Kraken и воспользовался этим. Представители аудитора дали официальный комментарий на все домыслы и слухи.
Покупайте криптовалюту только на проверенных площадках! Рассказали о лучших криптобиржах с выводом средств прямо на карту.
Что сказали эксперты CertiK
Еще до того, как стало известно о причастности ко взлому аудитора CertiK, директор по безопасности Kraken Ник Перкоко утверждал, что 9 июня биржа получила отчет о найденной уязвимости в рамках программы Bug Bounty.
Однако, по его словам, специалисты не поделились никакими подробностями. Вместо этого они решили воспользоваться багом и вывести с площадки $3 млн.
В ответ на ложные обвинения эксперты CertiK призналась, что тот самый отчет отправили именно они. Обнаруженная ими уязвимость могла привести к потерям на сотни миллионов долларов. В ходе расследования специалисты площадки по блокчейн-безопасности задавались тремя ключевыми вопросами:
- Может ли злоумышленник подделать транзакцию депозита на аккаунт Kraken?
- Может ли злоумышленник вывести поддельные средства?
- Какие меры контроля и защиты активов могут быть активированы при крупном запросе на вывод средств?
Представители CertiK заявили, что торговая площадка провалила аудит. Система безопасности Kraken оказалась уязвимой по всем трем пунктам.
Читайте также: OKX потеряла более $633 млн из-за слухов об угрозе безопасности
«Согласно результатам нашего тестирования, биржа Kraken не провалила все три теста; это свидетельствует о том, что система глубокой защиты площадки может быть скомпрометирована по нескольким направлениям. На ЛЮБОЙ счет Kraken можно перевести миллионы долларов. Огромное количество поддельных криптовалют (стоимостью более $1 млн) можно вывести со счета и конвертировать в настоящие криптовалюты. Что еще хуже, во время многодневного тестирования не появилось ни одного предупреждения. Kraken отреагировала и заблокировала тестовые счета только через несколько дней после того, как мы официально сообщили об инциденте», — написали эксперты.
После обнаружения уязвимости аудитор сообщил о результатах проверки команде по безопасности Kraken, которая классифицировала проблему как «критическую». Площадка успешно все исправила. Но вскоре возникли серьезные разногласия. Kraken обвинила CertiK в краже средств и потребовала вернуть деньги, угрожая сотрудникам компании.
«Команда по безопасности Kraken угрожала сотрудникам CertiK, требуя возврата несоответствующей суммы криптовалюты в неразумные сроки, даже не предоставив адреса для возврата. От устного соглашения, достигнутого во время нашей встречи, они впоследствии отказались. В итоге Kraken публично обвинила нас в краже и даже прямо угрожали нашим сотрудникам, что абсолютно неприемлемо», — рассказали представители CertiK в комментарии для BeInCrypto.
Команда аудитора вернула все средства Kraken. В посте специалисты подчеркнули, что средства клиентов биржи затронуты не были. Факт возврата средств подтвердил и Перкоко.
Криптосообщество критикует CertiK
Вопреки усилиям CertiK быть максимально прозрачными, криптосообщество обвинило специалистов площадки в непрофессионализме. Один из пользователей отметил, что отношение к этой истории было бы более позитивным, если бы аудитор вел себя дружелюбнее.
Разработчик Уттам Сингха подчеркнул, что эксперты CertiK совершили целый ряд транзакций и прождали пять дней перед тем, как раскрыть информацию. По его мнению, такой факт делает ситуацию еще более невыгодной для аудитора.
По словам технического директора Cyvers Меира Долева, 24 мая адрес, связанный с CertiK, создал контракт в сети второго уровня (L2) Base. Это ставит под сомнение утверждения площадки о том, что эксперты обнаружили уязвимость 5 июня. Исходя из некоторых сообщений, сейчас этот адрес тестирует OKX и Coinbase на наличие такой же уязвимости, что у Kraken.
Читайте также: Хакеры обокрали пользователей OKX и Binance на $3 млн
Пользователи также обратили внимание на то, что украденные у торговой площадки средства аудитор отправил в криптовалютный миксер Tornado Cash. На это криптосообщество тоже отреагировало негативно. Одни стали сомневаться в реальных мотивах CertiK, другие — рассуждать о том, что такой шаг может навлечь на площадку лишние юридические проблемы.
Последние новости криптовалют, аналитика и прогнозы — все самое интересное в нашем Телеграм-канале. Подписывайтесь, чтобы не пропустить ничего важного.
Согласно правилам Trust Project, BeInCrypto стремится предоставлять только непредвзятую и правдивую информацию. Цель этой новостной статьи — осветить событие точно и своевременно. Тем не менее, BeInCrypto рекомендует читателям самостоятельно проверять информацию и консультироваться со специалистом, прежде чем принимать любые финансовые решения на основе этого контента. Также обратите внимание, что наши «Условия и положения», «Политика конфиденциальности» и «Дисклеймеры» были обновлены.