Vụ trộm 3 triệu USD của sàn Kraken khiến CertiK cảm thấy ‘bị đe dọa’ – Tại sao?

by
  • Lỗi của Kraken đã dẫn đến vụ trộm trị giá 3 triệu USD, làm dấy lên tranh cãi về các biện pháp bảo mật.
  • CertiK chỉ trích yêu cầu hoàn trả của Kraken sau lỗ hổng bảo mật, làm tăng thêm sự không chắc chắn của sàn giao dịch.

Là một nhà phân tích giàu kinh nghiệm, tôi thấy sự cố gần đây của Kraken liên quan đến vụ trộm 3 triệu USD do lỗi trong hệ thống của họ là khá đáng báo động. Tình hình đã gây ra tranh cãi và sự không chắc chắn trong cộng đồng tiền điện tử, đặc biệt là với thông báo công khai của CertiK tự nhận mình là “nhà nghiên cứu bảo mật” đằng sau vấn đề này.

Là một nhà phân tích thị trường tiền điện tử, tôi đã rất ngạc nhiên khi Kraken, một nền tảng giao dịch tài sản kỹ thuật số nổi tiếng, tiết lộ vào ngày 19 tháng 6 rằng họ đã xác định được một trục trặc kỹ thuật cho phép người dùng vô tình nạp tiền vào tài khoản của họ trong một thời gian dài.

Một lỗ hổng bảo mật, được coi là “cực kỳ nghiêm trọng”, đã được một nhà nghiên cứu Kraken chú ý.

Trao đổi Kraken tranh giành?

Là một nhà phân tích bảo mật, tôi đã gặp những tình huống trục trặc phần mềm dẫn đến tổn thất tài chính đáng kể. Trong trường hợp cụ thể này, một lỗi đáng tiếc đã khiến hơn 3 triệu đô la tài sản kỹ thuật số bị rút, gây ra sự chú ý rộng rãi. Để đối phó với sự việc này, Nicholas Percoco, giám đốc an ninh tại Kraken, đã đến X (trước đây gọi là Twitter) để chia sẻ quan điểm của mình về vấn đề này.

Vụ trộm 3 triệu USD của sàn Kraken khiến CertiK cảm thấy ‘bị đe dọa’ – Tại sao?

Sau sự việc này, công ty chúng tôi khẳng định rằng không có tài sản nào của khách hàng gặp nguy hiểm. Theo Percoco, người dùng có thể thêm tiền vào tài khoản Kraken của họ bằng cách bắt đầu quá trình gửi tiền nhưng không nhất thiết phải hoàn tất nó. Ông làm rõ điểm này bằng cách nêu rõ:

Kẻ xấu có thể chuyển tài sản vào tài khoản Kraken của họ một cách gian lận trong một khoảng thời gian cụ thể.

Là một nhà nghiên cứu bảo mật, tôi đã phát hiện ra một lỗ hổng cho phép tôi thêm số tiền điện tử trị giá chỉ 4 đô la vào tài khoản của mình. Với phát hiện nhỏ nhưng quan trọng này, tôi đã có thể tiết lộ vấn đề một cách có trách nhiệm và nhận phần thưởng của mình.

Thay vì tiết lộ vấn đề, nhà nghiên cứu tâm sự với hai đồng nghiệp đã rút khoảng 3 triệu USD khỏi Kraken.

Giải quyết những lo lắng của người dùng xung quanh vấn đề này, Kraken tuyên bố: 

“Đây là từ kho bạc của Kraken, không phải tài sản của khách hàng khác.” 

Phản ứng bất ngờ từ các nhà nghiên cứu

Với tư cách là một nhà đầu tư tiền điện tử, tôi có thể nói với bạn rằng khi Kraken yêu cầu các nhà nghiên cứu trả lại tiền và tiết lộ chi tiết về lỗ hổng được phát hiện, đây là một quy trình điển hình cho các chương trình thưởng lỗi, họ đã từ chối tuân thủ.

Về vấn đề này, Percoco đã trả lời: 

Vụ trộm 3 triệu USD của sàn Kraken khiến CertiK cảm thấy ‘bị đe dọa’ – Tại sao?

Bày tỏ sự thất vọng của mình về vấn đề tương tự, CSO của Kraken cho biết: 

“Thật ngạc nhiên khi chúng tôi bị chỉ trích vì yêu cầu ‘tin tặc có đạo đức’ trả lại những gì họ được cho là đã lấy của chúng tôi.”

Vụ trộm 3 triệu USD của sàn Kraken khiến CertiK cảm thấy ‘bị đe dọa’ – Tại sao?

CertiK: Nhà nghiên cứu bảo mật

Tuy nhiên, mọi thứ trở nên tồi tệ hơn khi công ty bảo mật blockchain CertiK đưa ra thông báo với tư cách là thực thể chịu trách nhiệm nêu ra những lo ngại về bảo mật. Họ tuyên bố,

“Sau những chiến thắng ban đầu trong việc xác định và giải quyết các lỗ hổng, nhóm bảo mật của Kraken đã yêu cầu các nhân viên cụ thể của CertiK hoàn trả một số lượng tiền điện tử KHÔNG cân xứng trong một khung thời gian KHÔNG THỰC HIỆN mà không cung cấp bất kỳ hướng dẫn hoàn trả nào.”

Lúc đầu, điều này đã nhận được những phản hồi không thuận lợi, theo Lefteris Karapetsas, Người sáng lập Rotkiapp, người đã chỉ ra điều này.

Vụ trộm 3 triệu USD của sàn Kraken khiến CertiK cảm thấy ‘bị đe dọa’ – Tại sao?

Mặc dù CertiK có bề dày lịch sử trong việc tìm kiếm lỗ hổng nhưng kết quả cuối cùng của sàn giao dịch vẫn khó lường.

2024-06-20 16:07