CertiK فاش می کند که آسیب پذیری Kraken را پیدا کرده و وجوه را برمی گرداند، اتهامات اخاذی را رد می کند

CertiK فاش می کند که آسیب پذیری Kraken را پیدا کرده و وجوه را برمی گرداند، اتهامات اخاذی را رد می کند

شرکت امنیتی بلاک چین CertiK تأیید کرد که پشت کشف یک آسیب‌پذیری مهم در سیستم سپرده کراکن صرافی کریپتو بوده و پس از ادعاهای اخاذی توسط این صرافی، گزارش رویدادهای خود را در اختیار عموم قرار داده است.

این شرکت امنیتی همچنین ادعا کرد که کراکن در 18 ژوئن کارمندان خود را تهدید کرده و بدون ارائه آدرس کیف پول مربوطه، خواستار بازپرداخت مبلغ “ناهمخوان” در مدت زمان نامعقولی شده است.

CertiK اتهامات اخاذی را رد کرد و گفت که وجوه مورد استفاده برای “تست کلاه سفید” خود را به آدرس کیف پولی که در اختیار دارد منتقل می کند زیرا کراکن آدرس جدیدی ارائه نکرده است. این شرکت گفت:

“از آنجایی که کراکن آدرس بازپرداخت را ارائه نکرده است و مبلغ درخواستی مطابقت نداشت، ما وجوه را بر اساس سوابق خود به حسابی منتقل می کنیم که Kraken می تواند به آن دسترسی داشته باشد.”

سمت CertiK

CertiK گفت که تحقیقات آن در 5 ژوئن آغاز شد، زمانی که محققان آن مشکلی را در سیستم سپرده کراکن پیدا کردند که نتوانست بین وضعیت‌های مختلف انتقال داخلی تفاوت قائل شود.

این منجر به تحقیقات عمیق‌تری در مورد اینکه آیا یک عامل مخرب می‌تواند یک معامله سپرده را ایجاد کند و وجوه جعلی را برداشت کند، انجامید. این شرکت گفت که این آزمایش ها همچنین با هدف تعیین اینکه آیا یک درخواست برداشت بزرگ باعث ایجاد هرگونه کنترل ریسک می شود یا خیر.

آزمایش‌های CertiK نشان داد که میلیون‌ها دلار را می‌توان به هر حساب Kraken واریز کرد و رمزارزهای ساخته شده به ارزش بیش از یک میلیون دلار را می‌توان برداشت و به ارزهای دیجیتال معتبر تبدیل کرد. این شرکت گفت که هیچ هشداری در طول دوره آزمایش چند روزه ایجاد نشد و کراکن تنها چند روز پس از گزارش حادثه پاسخ داد و حساب‌های آزمایشی را قفل کرد.

علیرغم ارتباطات موفقیت آمیز اولیه و اقدامات برای شناسایی و رفع آسیب پذیری، وضعیت بدتر شد و منجر به افشای عمومی CertiK شد.

جدول زمانی رویدادها با کشف اولیه در 5 ژوئن آغاز شد و شامل آزمایش‌های مهمی بود، مانند برداشت بزرگ بیش از 90000 Matic در 7 ژوئن و سپرده‌ها و برداشت‌های بزرگ اضافی در روزهای بعد.

CertiK یافته های خود را در 10 ژوئن به Kraken گزارش کرد و تا 12 ژوئن، Kraken این آسیب پذیری حیاتی را تایید و رفع کرد. با این حال، وضعیت در 18 ژوئن تشدید شد، زمانی که Kraken ظاهراً یک کارمند CertiK را تهدید کرد و خواستار بازپرداخت بدون ارائه آدرس شد.

اتهامات اخاذی

نیک پرکوکو، افسر ارشد امنیت کراکن در 19 ژوئن فاش کرد که تقریباً 3 میلیون دلار از کیف پول آن به دلیل وجود اشکالی برداشته شده است که به هر کسی اجازه می‌دهد بدون تکمیل تراکنش، واریز به پلتفرم را آغاز کند و وجوه را دریافت کند.

او فاش کرد که در 9 ژوئن، این شرکت یک نکته ناشناس از یک “محقق امنیتی” در مورد یک باگ مهم که بر سیستم تامین مالی آن تاثیر می گذارد دریافت کرد. این نقص به بازیگران مخرب اجازه می داد تا موجودی حساب خود را به طور مصنوعی افزایش دهند.

در حین رفع این آسیب‌پذیری، کراکن متوجه شد که سه حساب در عرض چند روز از این نقص سوء استفاده کرده‌اند و در نتیجه نزدیک به 3 میلیون دلار از خزانه کراکن برداشته شده است. این مقدار چندین قدر بیشتر از آن چیزی است که برای اثبات وجود آسیب پذیری لازم است.

این صرافی گفت که محققان درخواست آن را برای بازگرداندن وجوه و ارائه داده‌ها مطابق با برنامه‌های جایزه باگ معمولی، که شامل «یک حساب کامل از فعالیت‌های آنها، اثبات مفهومی که برای ایجاد فعالیت زنجیره‌ای استفاده می‌شود» را رد کردند.

در عوض، محققان جلساتی را بین صرافی و بخش بازرگانی CertiK برنامه‌ریزی کردند تا بر اساس آسیب‌هایی که در صورت فاش نشدن آن‌ها ایجاد می‌کرد، ارزش پاداش را بررسی کنند.

پرکوکو درخواست محققین برای دریافت مبلغ گمانه زنی برای خسارات احتمالی را محکوم کرد و این اقدامات را غیراخلاقی و مجرمانه خواند.

در این مقاله ذکر شده است