Kraken получил обратно $3 млн от CertiK за обнаружение ошибки

Kraken подтвердил возвращение украденных цифровых активов на сумму почти 3 миллиона долларов, положив конец саге Kraken-CertiK, начавшейся 9 июня.

Возврат средств за вычетом комиссий за транзакции был подтвержден Николасом Перкоко, директором службы безопасности Kraken, в сообщении X от 20 июня:

 «Обновление: теперь мы можем подтвердить, что средства были возвращены (за вычетом небольшой суммы, потерянной из-за комиссий)».

CSO Kraken впервые объявил о недостающих средствах на сумму 3 миллиона долларов 19 июня, когда он заявил, что «исследователь безопасности» злонамеренно забрал их из казначейства после того, как обнаружил и поделился существующей ошибкой.

Kraken утверждал, что деньги вымогал исследователь безопасности, который отказывался возвращать средства, требуя вознаграждения и звонка в команду по развитию бизнеса биржи.

Точка зрения CertiK

Вскоре после сообщения Kraken о пропавших средствах фирма по безопасности блокчейнов CertiK публично назвала себя «исследователем безопасности», который, по утверждению Kraken, украл цифровые активы на сумму 3 миллиона долларов.

В сообщении X от 19 июня CertiK сообщила, что проинформировала Kraken об эксплоите, который позволил ей вывести миллионы долларов со счетов биржи. CertiK также заявила, что ей угрожали со стороны команды биржи:

«После первоначальных успешных преобразований по выявлению и устранению уязвимости операционная группа безопасности Kraken УГРОЖАЛА отдельным сотрудникам CertiK и требовала выплатить НЕСООТВЕТСТВЕННОЕ количество криптовалюты в НЕОБЫЧНЫЕ сроки, даже БЕЗ предоставления адресов погашения».

Охранная фирма опубликовала график событий, начиная с выявления эксплойта 5 июня и заканчивая заявлениями, что Кракен угрожал сотруднику CertiK 18 июня. При этом CertiK заявила, что планирует перевести средства «на счет, к которому Kraken будет иметь доступ».

Хронология саги Bug Bounty. Источник: CertiK.

Почему CertiK вывела почти $3 млн?

Перкоко из Kraken первоначально заявил, что первого вредоносного перевода стоимостью всего 4 доллара было бы достаточно, чтобы доказать наличие ошибки и получить «значительные награды» от программы вознаграждений Karken.

Однако исследователь безопасности, который позже был раскрыт как CertiK, вывел со счетов Kraken почти 3 миллиона долларов.

В сообщении после возвращения 3 миллионов долларов CertiK заявила, что многомиллионная сумма была необходима для проверки пределов биржи:

«Мы хотим проверить пределы защиты Kraken и контроля рисков. После нескольких тестов в течение нескольких дней и криптовалюты на сумму около 3 миллионов долларов никаких предупреждений не было, и мы до сих пор не выяснили предел».

Более того, CertiK утверждает, что изначально не запрашивала баунти, но об этом упомянула биржа:

«Мы никогда не упоминали о каком-либо запросе на награду. Именно Kraken первым упомянул нам о своей награде, а мы ответили, что награда не является приоритетной темой, и мы хотим убедиться, что проблема решена».

CertiK добавила, что никакие средства пользователей Kraken не подвергаются опасности, поскольку использованные средства были «созданы из воздуха».