block-chain24.com
Kraken подтвердил возвращение украденных цифровых активов на сумму почти 3 миллиона долларов, положив конец саге Kraken-CertiK, начавшейся 9 июня.
Возврат средств за вычетом комиссий за транзакции был подтвержден Николасом Перкоко, директором службы безопасности Kraken, в сообщении X от 20 июня:
«Обновление: теперь мы можем подтвердить, что средства были возвращены (за вычетом небольшой суммы, потерянной из-за комиссий)».
CSO Kraken впервые объявил о недостающих средствах на сумму 3 миллиона долларов 19 июня, когда он заявил, что «исследователь безопасности» злонамеренно забрал их из казначейства после того, как обнаружил и поделился существующей ошибкой.
Kraken утверждал, что деньги вымогал исследователь безопасности, который отказывался возвращать средства, требуя вознаграждения и звонка в команду по развитию бизнеса биржи.
Точка зрения CertiK
Вскоре после сообщения Kraken о пропавших средствах фирма по безопасности блокчейнов CertiK публично назвала себя «исследователем безопасности», который, по утверждению Kraken, украл цифровые активы на сумму 3 миллиона долларов.
В сообщении X от 19 июня CertiK сообщила, что проинформировала Kraken об эксплоите, который позволил ей вывести миллионы долларов со счетов биржи. CertiK также заявила, что ей угрожали со стороны команды биржи:
«После первоначальных успешных преобразований по выявлению и устранению уязвимости операционная группа безопасности Kraken УГРОЖАЛА отдельным сотрудникам CertiK и требовала выплатить НЕСООТВЕТСТВЕННОЕ количество криптовалюты в НЕОБЫЧНЫЕ сроки, даже БЕЗ предоставления адресов погашения».
Охранная фирма опубликовала график событий, начиная с выявления эксплойта 5 июня и заканчивая заявлениями, что Кракен угрожал сотруднику CertiK 18 июня. При этом CertiK заявила, что планирует перевести средства «на счет, к которому Kraken будет иметь доступ».
Хронология саги Bug Bounty. Источник: CertiK.
Почему CertiK вывела почти $3 млн?
Перкоко из Kraken первоначально заявил, что первого вредоносного перевода стоимостью всего 4 доллара было бы достаточно, чтобы доказать наличие ошибки и получить «значительные награды» от программы вознаграждений Karken.
Однако исследователь безопасности, который позже был раскрыт как CertiK, вывел со счетов Kraken почти 3 миллиона долларов.
В сообщении после возвращения 3 миллионов долларов CertiK заявила, что многомиллионная сумма была необходима для проверки пределов биржи:
«Мы хотим проверить пределы защиты Kraken и контроля рисков. После нескольких тестов в течение нескольких дней и криптовалюты на сумму около 3 миллионов долларов никаких предупреждений не было, и мы до сих пор не выяснили предел».
Более того, CertiK утверждает, что изначально не запрашивала баунти, но об этом упомянула биржа:
«Мы никогда не упоминали о каком-либо запросе на награду. Именно Kraken первым упомянул нам о своей награде, а мы ответили, что награда не является приоритетной темой, и мы хотим убедиться, что проблема решена».
CertiK добавила, что никакие средства пользователей Kraken не подвергаются опасности, поскольку использованные средства были «созданы из воздуха».