CertiK раскрыла причастность к «белому» взлому KrakenТайным «исследователем безопасности», который обнаружил эксплойт на криптобирже Kraken и воспользовался им, оказалась компания CertiK. Ранее директор по безопасности торговой платформы Ник Перкоко сообщил, что 9 июня биржа получила отчет об уязвимости в рамках программы Bug Bounty. Однако исследователи не поделились подробностями, а лишь воспользовались багом, чтобы вывести с Kraken около $3 млн.
По словам Перкоко, тогда еще публично неизвестные белые хакеры запросили за раскрытие информации больше денег, чем предполагала программа вознаграждений, сославшись на высокую степень угрозы. Представитель Kraken обвинил их в «вымогательстве». Согласно посту CertiK, эксплойт позволял сфабриковать транзакцию внесения депозита на счет биржи, а затем вывести полученные средства. Служба безопасности торговой платформы классифицировала эксплойт как «критический» (самый высокий уровень) и начала работать над его устранением.
Однако, согласно версии CertiK, группа безопасности Kraken «начала угрожать отдельным сотрудникам, что выплатит несоответствующее количество криптовалюты в безосновательные сроки даже без предоставления адресов для возврата средств». Фирма опубликовала график событий начиная с выявления эксплойта 5 июня и заканчивая «угрозами» со стороны Kraken 18 июня. За это время стороны провели несколько видеоконференций.
CertiK пообещала вернуть все активы, выведенные в ходе тестирования уязвимости:
«Поскольку Kraken не предоставила адреса для погашения и неправильно рассчитанную сумму, мы переводим средства на основе наших заметок на счет, к которому биржа сможет получить доступ».
Аналитики подтвердили, что средства пользователей не затронуты. Однако они обеспокоились слабой системой безопасности биржи, которая не отреагировала ни на фейковый депозит, ни на крупный вывод средств.
