Криптообменник Kraken раскрыл, что исследовательская группа до сих пор удерживает 3 миллиона долларов в цифровых активах, полученных через недавно обнаруженный баг.
Ошибки и взлома
Самоназначенный анонимный исследователь безопасности обнаружил критический баг и предупредил о нем Kraken 9 июня. Однако, по словам Ника Перкоко, руководителя по безопасности в Kraken, два аккаунта, связанные с этим исследователем, использовали баг для выводаболее 3 миллионов долларов в цифровых активах.
После массового снятия средств исследователь безопасности настаивал на вознаграждении за украденные средства. В своем посте от 19 июня Перкоко написал: «Вместо этого они требовали разговора с их командой бизнес-разработки и отказались возвращать средства, пока мы не предоставим спекулятивную сумму, которую мог бы вызвать этот баг, если бы они его не раскрыли. Это не этический хакинг, это вымогательство!».
Когда Kraken попросил Proof of Concept для изучения on-chain активности white hacker, последний отказался, затем требовал сумму, соответствующую средствам, которые возможно были бы украдены, если бы баг не был обнаружен вовремя.
Нечестные практики?
По словам Перкоко, криптовалюты были украдены непосредственно из кассы Kraken, не ставя под угрозу средства пользователей. Один из трех аккаунтов Kraken, связанных с взломом, ранее прошел проверку KYC для лица, представившегося исследователем безопасности, хотя его личность остается неизвестной.
Исследователь изначально продемонстрировал ошибку, переведя криптовалюту на сумму 4 долларов, что было бы достаточно для доказательства бага и получения «значительных вознаграждений» от программы поощрения за нахождение багов Kraken. Однако индивидуум раскрыл баг двум другим аккаунтам, которые незаконно похитили почти 3 миллиона долларов со своих аккаунтов Kraken.
Эти действия больше похожи на вымогательство, чем на поведение этичного хакерства, по мнению Перкоко из Kraken:
С тем, чтобы быть прозрачными, сегодня мы раскрываем этот баг индустрии. Нас обвиняют в том, что мы неразумны и непрофессиональны, требуя от ‘этических хакеров’ вернуть то, что они у нас украли. Невероятно.
Мы рассматриваем это дело как уголовное и соответствующим образом координируем наши действия с полицейскими органами
