Компания CertiK разъяснила свою позицию в отношении этичного хакинга, Kraken подтвердила полный возврат средств

Компания CertiK, специализирующаяся на безопасности смарт-trac, продолжает утверждать, что ее действия против биржи Kraken были этичными и что она пыталась оценить полный масштаб уязвимостей в системе безопасности. Тестировщики также заявляют, что вернули все средства в натуральной форме и не занимались шантажом Kraken. 

Команда CertiK разработала новое заявление, чтобы опровергнуть некоторые предыдущие утверждения Kraken. Тестировщики отказались от требований о вознаграждении, заявив, что их приоритетом является устранение уязвимости, позволяющей зачислять средства на счет. 

Читайте: Kraken вернула 3 миллиона долларов на фоне растущей критики в адрес Certik.

Все выведенные средства поступили из холодных кошельков Kraken, и это не затронуло учетные записи пользователей. Возврат монет был осуществлен на основе собственных расчетов CertiK и записей транзакций. 

Наиболее спорным действием CertiK стали записи о переводе средств в Tornado Cash. Этот криптовалютный миксер ранее уже сталкивался с санкциями Министерства финансов США, которые запрещали лицам, проживающим в США, взаимодействовать с ним. 

Компания CertiK хорошо осведомлена об использовании Tornado Cash и представила данные о переводах в качестве доказательства эксплуатации уязвимости. Ранее CertiK также tracиспользование Tornado Cash в рамках более ранних эксплойтов. Одним из главных направлений деятельности CertiK остается аудит смарт-trac, которые часто содержат аналогичные логические ошибки, приводящие к неограниченному созданию токенов.

Подход CertiK к этичному хакингу встревожил наблюдателей, поскольку небольшие суммы были отправлены напрямую в Tornado Cash для тестирования эксплойта. Некоторые этапы процесса тестирования Kraken просочились в социальные сети, прежде чем Kraken наконец сообщила о реальном размере эксплойта. 

Вопрос о вознаграждении за обнаружение уязвимостей не обсуждался, но CertiK продолжает утверждать, что не требовало вознаграждения для возврата средств. Пока что команда безопасности Kraken не объявляла о каком-либо вознаграждении для CertiK. 

Компания Kraken признает получение всех средств

Компания CertiK формировала балансы на централизованной платформе Kraken и осуществляла вывод средств от имени этих счетов. 

Наиболее спорными были заявления Kraken о неточности данных CertiK, представленных в отчете. Однако несколько дней спустя это было опровергнуто. Директор по безопасности Kraken Ник Перкоко объявил, что средства были возвращены в полном объеме за вычетом комиссий за транзакции. 

Согласно отчетам CertiK, были выведены только ETH, USDT и XMR, в то время как Kraken также заявила о выводе 155 818,44 MATIC , причем часть средств была выведена в смешанном виде. Общая сумма выводимых средств оценивалась примерно в 3 миллиона долларов, хотя CertiK использовала небольшую сумму для доказательства эффективности мошенничества. 

Дальнейший анализ уязвимости показал, что CertiK сгенерировал несуществующие балансы MATIC , но транзакции не удались, и средства не покинули холодные кошельки Kraken. Сгенерированные MATIC представляли собой лишь внутреннюю уязвимость, которая не привела к переводу реальных токенов Polygon. 

В некоторых случаях наличие средств можно имитировать, как это делалось в случае атак на другие протоколы с использованием мгновенных займов. 

Компания CertiK заявила, что количество атак на кошельки снова возросло, в результате чего из приложений и протоколов было похищено более 30 миллионов долларов. Эта цифра не включает атаки на отдельные кошельки. 

Компания Tornado Cash продолжает свою деятельность спустя годы после введения санкций

Миксер Tornado Cash по-прежнему способствует совершению мошеннических действий, поскольку средства после прохождения через него невозможноtrac. Даже после внесения кошельков и адресов в черный список ничто не мешает хакерам смешивать ETH и отправлять его на новые неизвестные кошельки. 

Читайте также: от торнадо», Cash проиграла в суде казначействе США.

С 2022 года у Tornado Cash ограниченные ресурсы, но сервис по-прежнему работает. 

Основатель Tornado CashАлексей Перцев был приговорен в мае 2024 года к тюремному заключению сроком на несколько лет. Однако санкции и запреты не мешают никому использовать этот миксер, и это не распространяется на юрисдикции за пределами США.

Некоторые криптовалюты, например USDC, внесли в черный список всеtracTornado Cash . Любые средства, отправленные наtrac, невозможно вернуть. USDC также известен своей централизованной возможностью замораживания монет. Для Kraken возможность вывода средств на адресtracTornado Cash также представляла собой серьезную уязвимость. Большинство производителей токенов предпочитают не контролировать свои токены, что делает их уязвимыми для кражи и невозвратными при смешивании. 

Cryptopolitan репортаж Кристины Васильевой