Công ty bảo mật CertiK trở thành hacker và bị phát hiện đã đánh cắp 3 triệu USD từ sàn Kraken

Vào ngày 19 tháng 6, theo giờ địa phương ở Hoa Kỳ, sàn giao dịch tiền điện tử Kraken và công ty bảo mật blockchain CertiK đã có cuộc đối đầu công khai trên mạng xã hội về một loạt lỗ hổng bảo mật nghiêm trọng.
Vụ việc bắt nguồn từ một lỗ hổng được CertiK phát hiện trong Kraken: Giám đốc an ninh Kraken Nick Percoco tiết lộ trên Twitter rằng ông đã nhận được một lỗi "cực kỳ nghiêm trọng". báo cáo về lỗ hổng bảo mật trong chương trình tiền thưởng lỗi của mình, trong đó tuyên bố đã phát hiện ra Lỗ hổng bảo mật có thể bị con người khai thác để tăng số dư tài khoản. CertiK mô tả đây là một thử nghiệm bảo mật cho sàn giao dịch Kraken và Kraken tin rằng CertiK đã thu lợi từ lỗ hổng ở giữa.

Chuyện gì đã xảy ra thế

CertiK: Sau khi báo cáo vi phạm an ninh cho Kraken, nhân viên của CertiK đã bị đội ngũ vận hành an ninh của công ty đe dọa

Theo điều tra của CertiK, hệ thống gửi tiền của Kraken không thể phân biệt hiệu quả giữa các trạng thái chuyển tiền nội bộ khác nhau và có nguy cơ các tác nhân độc hại có thể giả mạo các giao dịch gửi tiền và rút tiền giả. Trong quá trình thử nghiệm, hàng triệu đô la tiền giả có thể được gửi vào tài khoản Kraken và hơn 1 triệu đô la tiền điện tử giả được rút vào tài sản hợp lệ mà không có bất kỳ cảnh báo nào được kích hoạt trên hệ thống Kraken. Sau khi CertiK thông báo cho Kraken, Kraken đã phân loại lỗ hổng này là "nghiêm trọng"; và ban đầu đã khắc phục vấn đề. Tuy nhiên, CertiK chỉ ra rằng nhóm bảo mật Kraken sau đó đã đe dọa nhân viên của CertiK và yêu cầu hoàn trả số tiền điện tử không khớp trong một khoảng thời gian không hợp lý mà không cung cấp địa chỉ trả nợ.

Giám đốc An ninh Kraken: Số tiền rút do lỗ hổng trước đó đã được trả lại

Nick Percoco, giám đốc an ninh của Kraken Exchange, đã đăng một bản cập nhật trên nền tảng xã hội nói rằng giờ đây có thể xác nhận rằng số tiền rút do lỗ hổng trước đó đã được hoàn trả (trừ một khoản phí nhỏ).

CertiK: Tất cả số tiền nắm giữ đã được trả lại, nhưng tổng số tiền khác với yêu cầu của Kraken

CertiK công bố loạt câu hỏi đáp về sự cố mũ trắng CertiK-Kraken trên nền tảng X. CertiK tuyên bố rằng không có tài sản thực sự nào của người dùng Kraken trực tiếp tham gia vào các hoạt động nghiên cứu. Trong quá trình liên lạc với Kraken (qua email và hội nghị truyền hình), CertiK luôn đảm bảo với họ rằng tiền sẽ được trả lại. Tất cả số tiền hiện đang nắm giữ đã được trả lại, nhưng tổng số tiền khác với yêu cầu của Kraken. CertiK thực hiện hoàn tiền dựa trên hồ sơ của chính mình.
CertiK đã tiết lộ chi tiết về lỗ hổng cho Kraken và nó đã được sửa trong vòng 47 phút. Sau khi thử nghiệm, CertiK đã kịp thời thông báo cho Kraken bằng nhiều phương thức và gửi báo cáo chi tiết. CertiK không tham gia vào chương trình tiền thưởng của Kraken và chưa đề cập đến bất kỳ yêu cầu tiền thưởng nào. Trọng tâm là đảm bảo vấn đề được giải quyết.
Ngoài ra, CertiK đã tiết lộ toàn bộ dòng thời gian và địa chỉ gửi tiền.

Kraken xử lý hành vi "ăn cắp" của hacker mũ trắng CertiK hàng triệu đô la tài sản tiền điện tử như một "Vụ án hình sự"

Nick Percoco, giám đốc chiến lược của Kraken, cho biết nền tảng giao dịch này coi khoản lỗ gần 3 triệu USD gần đây là một “vụ án hình sự” và đang phối hợp với cơ quan thực thi pháp luật để thu hồi số tiền. Theo Nick Percoco, các nhà nghiên cứu giấu tên đã đánh cắp hàng triệu đô la tiền điện tử từ Kraken bằng cách rút tiền đã được gửi vào tài khoản của họ trước khi việc gửi tiền hoàn tất.

CertiK trước đây đã kiểm tra OKX và Coinbase về cùng một lỗ hổng bảo mật

Để giải quyết tranh chấp về các báo cáo về lỗ hổng bảo mật giữa Kraken và CertiK, thám tử on-chain @0xBoboShanti tuyên bố rằng một địa chỉ được công bố trước đây bởi một nhà nghiên cứu bảo mật của Certik đã được thăm dò và thử nghiệm sớm nhất là vào ngày 27 tháng 5, phù hợp với dòng thời gian của sự kiện A của Certik. xung đột xảy ra. Hơn nữa, số tiền của địa chỉ thử nghiệm có nguồn gốc từ giao dịch Tornado từ Certik và ví gần đây đã tương tác với cùng một hợp đồng, một phát hiện đã gắn vụ việc với các nhà nghiên cứu bảo mật ban đầu. Nhà nghiên cứu bảo mật lưu ý thêm rằng báo cáo của Certik về giao dịch đã tiết lộ địa chỉ gửi tiền của Kraken là 0xa172342297f6e6d6e7fe5df752cbde0aa655e61c (MATIC). Trên mạng Ethereum, địa chỉ này được sử dụng cho các hoạt động rút tiền. Các địa chỉ rút tiền cụ thể bao gồm: 0x3c6a231b1ffe2ac29ad9c7e392c8302955a97bb3, 0xdc6af6b6fd88075d55ff3c4f2984630c0ea776bc và 0xc603d23fcb3c1a7d 1f27861aa5091ffa56d 3a599. Các địa chỉ rút tiền này rút số tiền lớn, sau đó đổ UDDT và sử dụng ChangeNOW để thực hiện nhiều trao đổi giá trị tối đa.

Người ta nghi ngờ rằng hợp đồng này (0x45…CeA9) được triển khai trên Base cũng đã thực hiện thử nghiệm tương tự trên OKX và Coinbase để xác định xem hai sàn giao dịch này có cùng lỗ hổng như Kraken hay không.

Sự cố CertiK và Kraken: Đâu là tiêu chuẩn phù hợp cho hacker mũ trắng?

Đánh giá từ thông tin cơ bản, số tiền thưởng của chương trình tiền thưởng lỗi của Kraken thực sự rất đáng kể.

Phần thưởng cho mức độ sự cố bảo mật cao nhất tương tự như vụ việc này là từ 1 triệu đến 1,5 triệu đô la Mỹ, tương đương với số tiền 3 triệu đô la Mỹ mà Kraken yêu cầu. Sự khác biệt không hề nhỏ.
Điều này cũng khiến dư luận tranh cãi về vụ việc này. Một số người đã nói trong phần bình luận: "Tôi không nghĩ hacker nên trả lại nó." Những người khác trả lời: "Bạn muốn nhận số tiền thưởng một triệu hay ba triệu?" Đi tù vì lợi nhuận bất hợp pháp của bạn?
Vụ việc gây tranh cãi này cũng hé lộ những rủi ro tiềm ẩn trong ngành hack mũ trắng.

Khi các công ty bảo mật có nhiệm vụ bảo vệ khách hàng khỏi các cuộc tấn công bằng lỗ hổng lại chủ động tấn công khách hàng thì sự an toàn của khách hàng sẽ trở nên vô ích. Đây chắc chắn là điều mà ngành công nghiệp tiền điện tử cần chú ý. Một vấn đề lớn.
Hành vi của hacker mũ trắng phải hợp pháp, tuân thủ và duy trì các tiêu chuẩn phù hợp để tránh các tranh chấp về pháp lý và đạo đức.