Kraken возвращает CertiK $3M, прекращая спор о баунти.

Американская криптовалютная биржа Kraken вернула компании CertiK, специализирующейся на безопасности блокчейна, 3 миллиона долларов, завершив спор о вознаграждении за баги. Ситуация возникла, когда самопровозглашенный исследователь безопасности использовал критическую ошибку на платформе Kraken, чтобы вывести цифровые активы на сумму $3 млн из казначейства Kraken, вместо того чтобы немедленно сообщить об этом для обеспечения безопасности.

Инцидент начался 9 июня, когда исследователь обнаружил и использовал ошибку, а затем потребовал спекулятивное вознаграждение за возврат украденных средств. Ник Перкоко, директор по безопасности Kraken, охарактеризовал такое поведение как вымогательство, а не хакерство. Перкоко рассказал, что исследователь, а также два связанных с ним аккаунта использовали баг для совершения ограбления.

Несмотря на то, что один из аккаунтов прошел проверку на знание своего клиента (KYC), личность исследователя осталась нераскрытой. Изначально человек продемонстрировал баг с помощью перевода криптовалюты на сумму $4, что могло бы принести значительное вознаграждение в рамках программы Kraken bounty. Однако распространение информации об ошибке на два других аккаунта привело к значительной краже.

Компания Kraken подчеркнула, что украденная криптовалюта была получена из ее казначейства, что гарантирует, что средства пользователей не пострадали. Перкоко вновь заявил о неэтичности действий исследователя, подчеркнув, что Kraken несправедливо критикуют за требование вернуть украденные средства.

В ответ на обвинения Kraken компания CertiK подтвердила, что за взломом стояли ее исследователи безопасности. CertiK заявила, что проинформировала Kraken об обнаруженной уязвимости, которую Kraken сразу же классифицировала как критическую. Позже CertiK обвинила Kraken в том, что она угрожала своим сотрудникам вернуть «несопоставимое» количество криптовалюты, не предоставив адреса для погашения.

CertiK защищала свои действия, заявляя, что их white-hat операция включала в себя майнинг криптовалюты из воздуха, гарантируя, что никакие реальные активы пользователей Kraken не были напрямую задействованы. Они заявили, что Kraken затянул с ответом, несмотря на признание высокого риска, а позже публично обвинил CertiK в краже, что CertiK считает неприемлемым.

Этот спор подчеркивает сложности и этические соображения в сфере криптобезопасности и баг-баунти. Он подчеркивает растущую угрозу взломов и эксплойтов криптовалют: по данным Merkle Science, в первом квартале 2024 года хакеры украли цифровые активы на сумму 542,7 миллиона долларов, что на 42% больше, чем за тот же период 2023 года.

Несмотря на возникшую напряженность, Kraken и CertiK урегулировали вопрос, вернув 3 миллиона долларов, что ознаменовало окончание этого конкретного спора. Этот инцидент служит напоминанием о важности четкой коммуникации и соблюдения этических норм в быстро развивающейся сфере криптовалютной безопасности.