Cuộc xung đột gần đây giữa CertiK và Kraken đã làm sáng tỏ các vấn đề nghiêm trọng, xoay quanh việc khai thác lỗi bảo mật dẫn đến việc một nhóm nghiên cứu từ CertiK rút trái phép khoảng 3 triệu USD từ kho bạc của Kraken.
Cả hai bên đã trình bày những câu chuyện trái ngược nhau, đặt ra những câu hỏi quan trọng về bản chất của việc hack có đạo đức, các giao thức liên lạc và cách xử lý thích hợp các lỗ hổng được phát hiện.
Nguồn gốc của tranh chấp
Kraken gần đây đã bị lỗ khoảng 3 triệu USD do bị khai thác lỗi bởi một nhóm nghiên cứu bảo mật đã báo cáo lỗi ban đầu.
Giám đốc An ninh của Kraken, Nicholas Percoco, đã cáo buộc nhóm tống tiền, tuyên bố rằng họ yêu cầu phần thưởng cho số tiền bị đánh cắp và từ chối trả lại trừ khi Kraken đồng ý trả một số tiền đầu cơ cho những thiệt hại tiềm ẩn.
Kraken Security Update:
On June 9 2024, we received a Bug Bounty program alert from a security researcher. No specifics were initially disclosed, but their email claimed to find an “extremely critical” bug that allowed them to artificially inflate their balance on our platform.
— Nick Percoco (@c7five) June 19, 2024
Theo Percoco, lỗi này được báo cáo lần đầu tiên vào ngày 9 tháng 6, cho phép nhóm nghiên cứu rút hơn 3 triệu USD từ kho bạc của Kraken.
Nhóm đã khai thác lỗi này mặc dù đã cảnh báo cho Kraken về lỗ hổng bảo mật nghiêm trọng.
Kraken xác nhận rằng tài sản bị đánh cắp đến từ kho bạc của họ và đảm bảo với người dùng rằng tiền của họ vẫn an toàn.
Hơn nữa, sàn giao dịch đang hợp tác với cơ quan thực thi pháp luật để thu hồi số tiền bị đánh cắp.
Percoco cho biết thêm rằng một trong những tài khoản liên quan đến vụ khai thác đã hoàn tất quá trình xác minh KYC.
Nhóm nghiên cứu bị nghi ngờ ban đầu đã chứng minh lỗi này bằng cách chuyển tiền điện tử trị giá 4 USD, đủ để nhận tiền thưởng từ Kraken.
Tuy nhiên, việc rút gần 3 triệu USD sau đó đã gây ra những lo ngại về mặt đạo đức.
CertiK sau đó tự nhận mình là nhóm có liên quan và cho rằng Kraken đã đe dọa nhân viên của mình.
Percoco bày tỏ sự thất vọng, lưu ý rằng yêu cầu trả lại tiền của Kraken đã vấp phải những cáo buộc về tính thiếu chuyên nghiệp.
Tranh chấp về hoạt động của Mũ trắng CertiK – Kraken
Một số câu hỏi quan trọng đã được đặt ra liên quan đến bản chất của cuộc tranh cãi gần đây giữa CertiK và Kraken cũng như các hành động mà cả hai bên thực hiện.
Q&A to recent CertiK-Kraken whitehat operations:
1. Did any real user lose fund?
No. Cryptos were minted out of air, and no real Kraken user’s assets were directly involved in our research activities.2. Have we refused to return the funds?
No. In our communication with…— CertiK (@CertiK) June 20, 2024
Do đó, CertiK đã đứng ra làm rõ. Certik tuyên bố rằng không có tài sản thực sự nào của người dùng Kraken tham gia vào hoạt động nghiên cứu của họ vì tiền điện tử được tạo ra một cách ngẫu nhiên.
Bất chấp những cáo buộc, CertiK luôn đảm bảo với Kraken rằng họ sẽ trả lại số tiền mà họ đã làm.
Tuy nhiên, tổng số tiền được trả lại không phù hợp với yêu cầu của Kraken.
CertiK đã trả lại 734.19215 ETH, 29,001 USDT và 1021.1 XMR, trong khi Kraken đã yêu cầu 155818.4468 MATIC, 907400.1803 USDT, 475.5557871 ETH và 1089.794737 XMR.
CertiK giải thích rằng lý do họ tiến hành nhiều thử nghiệm quy mô lớn là để đánh giá giới hạn khả năng bảo vệ và kiểm soát rủi ro của Kraken.
CertiK lưu ý thêm rằng, mặc dù đã tiến hành các thử nghiệm liên quan đến tiền điện tử trị giá gần ba triệu đô la trong nhiều ngày nhưng không có cảnh báo nào được kích hoạt.
Nhóm bảo mật tuyên bố đã kịp thời tiết lộ tất cả các chi tiết về lỗ hổng bảo mật cho Kraken, dựa trên báo cáo của họ, Kraken đã khắc phục sự cố trong vòng 47 phút.
Họ cũng tuyên bố rằng họ không tham gia vào chương trình tiền thưởng của Kraken và không có ý định tìm kiếm tiền thưởng. Ưu tiên của họ là đảm bảo vấn đề đã được khắc phục.
Mặc dù họ không gửi danh sách giao dịch đầy đủ cho Kraken nhưng họ đã cung cấp các địa chỉ gửi tiền lớn ngay từ Ngày đầu tiên, cho phép Kraken xác định tất cả các giao dịch và khóa tất cả các tài khoản liên quan. CertiK cũng đã công khai tất cả các giao dịch gửi tiền.
Phản ứng của cộng đồng
>_< pic.twitter.com/C5cydyz83S
— smolting (wassie, verse) (@inversebrah) June 20, 2024
Cuộc tranh cãi xung quanh CertiK đã gây ra những phản ứng mạnh mẽ trong cộng đồng tiền điện tử.
Những nhân vật nổi tiếng như Adam Cochran và Erik Voorhees đã cân nhắc về tình hình này.
Cochran chỉ ra rằng các kiểm toán viên bảo mật của CertiK đã chuyển tài sản thông qua Tornado Cash bị trừng phạt và bán tài sản thông qua ChangeNOW, một mô hình liên quan đến các nhóm hack như Lazarus.
Ông còn cáo buộc thêm rằng “Lazarus đã tấn công nhiều giao thức được kiểm toán của CertiK hơn bất kỳ giao thức nào khác”.
Giữa các cuộc thảo luận, một số người đã nhắc nhở công ty rằng Tornado Cash là một công cụ được Văn phòng Kiểm soát Tài sản Nước ngoài (OFAC) phê duyệt, cảnh báo rằng việc sử dụng nó có thể gây ra rắc rối pháp lý.
Là một công ty của Hoa Kỳ, việc sử dụng công cụ bị Mỹ trừng phạt có thể dẫn đến các vấn đề pháp lý nặng nề cho CertiK.
Erik Voorhees đặt câu hỏi về sự liên quan của các biện pháp trừng phạt nếu CertiK không có trụ sở tại Hoa Kỳ.
Cochran trả lời bằng cách nhấn mạnh rằng những người đồng sáng lập của CertiK là các giáo sư Hoa Kỳ và trụ sở chính của công ty ở Hoa Kỳ.
Các thành viên cộng đồng bày tỏ lo ngại về mức độ nghiêm trọng của tình hình. Người dùng Twitter @ToroTheDog nhấn mạnh mức độ nghiêm trọng của việc vi phạm các quy định của OFAC, cho thấy CertiK cần cố vấn pháp lý ngay lập tức. Các câu hỏi tiếp tục nảy sinh về ý định trả lại tiền của công ty và lý do đằng sau việc gửi chúng đến Tornado Cash.
Trong khi đó, Kraken trấn an người dùng rằng tiền của họ không bao giờ gặp rủi ro và cam kết thu hồi tài sản bị đánh cắp.
Sàn giao dịch vẫn giữ vững lập trường chống lại CertiK, cáo buộc công ty này có những hành vi phi đạo đức và kêu gọi trả lại tất cả số tiền đã khai thác được.
Tin Tức Bitcoin tổng hợp
