Kraken อ้างถูกแฮ็กจากบริษัทวิจัยความปลอดภัย, CertiK โต้ทันควัน เราต่างหากที่โดนข่มขู่

Nick Percoco หัวหน้าเจ้าหน้าที่รักษาความปลอดภัยของกระดานเทรดคริปโตชั้นนำอย่าง Kraken เปิดเผยเมื่อวันพุธที่ผ่านมาว่า ถูกรีดไถโดยทีมงานของบริษัทตรวจสอบความปลอดภัยชื่อดัง ซึ่งได้ทำการถอนเงินของบริษัทออกไปเป็นจำนวน 3 ล้านดอลลาร์ โดยอ้างว่าเป็นส่วนหนึ่งของการตรวจสอบช่องโหว่ในระบบการจัดการเงินทุน อย่างไรก็ตาม CertiK ออกมาตอบโต้หลังจากนั้นไม่นานว่า พนักงานของเราต่างหากที่โดนข่มขู่

Kraken สูญเงิน 3 ล้านดอลลาร์หลังจากถูกแฮ็กจากช่องโหว่, Nick Percoco กล่าว

จากข้อมูลของ Percoco

เขาระบุว่า หลังจากที่มีผู้ที่กล่าวอ้างว่าเป็น “นักวิจัยด้านความปลอดภัย” ได้ค้นพบช่องโหว่ของระบบการจัดการเงินทุนเมื่อวันที่ 9 มิถุนายน เขาก็ได้มีการรายงานมายัง Kraken

หลังจากที่ได้มีการแพทช์เพื่อปิดช่องโหว่แล้ว ทาง Kraken ก็ได้มีการตรวจสอบเพิ่มเติม และพบว่ามีอยู่ 3 บัญชีที่ได้ทำการใช้ประโยชน์จากช่องโหว่ดังกล่าว ซึ่งหนึ่งในนั้นก็มี KYC ตรงกับผู้ที่กล่าวอ้างว่าเป็นนักวิจัยด้านความปลอดภัย

เนื่องจากนักวิจัยด้านความปลอดภัยคนดังกล่าวไม่ได้ระบุเรื่องนี้ไว้ในรายงาน Bug Bounty ต้นฉบับ นั่นจึงก่อให้เกิดความสงสัยขึ้นภายในบริษัทว่า บุคคลดังกล่าวก็ได้มีการเปิดเผยช่องโหว่นี้ให้กับ “บุคคลอื่นอีก 2 คนที่พวกเขาทำงานด้วย” เพื่อทำการถอนเงินเป็นจำนวนหลายล้านดอลลาร์ออกจากคลังของ Kraken ใช่หรือไม่

Kraken Security Update:

On June 9 2024, we received a Bug Bounty program alert from a security researcher. No specifics were initially disclosed, but their email claimed to find an “extremely critical” bug that allowed them to artificially inflate their balance on our platform.

— Nick Percoco (@c7five) June 19, 2024

“เราขอให้มีการรายงานอย่างเต็มรูปแบบเกี่ยวกับกิจกรรมของพวกเขา รวมถึง Proof of Concept ที่พวกเขาใช้เพื่อทำกิจกรรม On-Chain ดังกล่าว และแนวทางที่พวกเขาเตรียมไว้เพื่อคืนเงินที่พวกเขาได้ถอนออกไป” Percoco กล่าว “นี่เป็นแนวทางโดยทั่วไปที่ใช้กับโปรแกรม Bug Bounty ใดๆ ก็ตาม แต่นักวิจัยด้านความปลอดภัยเหล่านี้บอกปัดในเรื่องดังกล่าว”

CSO ของ Kraken อ้างว่า แฮ็กเกอร์คนดังกล่าวระบุว่าจะไม่มีการคืนเงินใดๆ จนกว่าฝั่งกระดานเทรดคริปโตจะระบุมาว่า “จะเกิดความเสียหายเป็นจำนวนเงิน (ดอลลาร์) เท่าใดจากช่องโหว่นี้หากพวกเขาไม่ได้เปิดเผยมัน”

“นี่มันไม่ใช่ White-Hat Hacking” Percoco กล่าวต่อ “นี่มันคือการขู่กรรโชกทรัพย์ชัดๆ!”

CertiK สวนกลับทันควัน เปิดเผยเรื่องราวจากอีกฝั่ง!

CertiK บริษัทโซลูชั่นรักษาความปลอดภัยชื่อดัง ได้ออกมาตอบโต้คำกล่าวอ้างของอีกฝั่งในโพสต์บน X โดยระบุว่า หลังจากที่ได้พูดคุยหารือเกี่ยวกับช่องโหว่ดังกล่าวกับกระดานเทรดคริปโตชื่อดังเรียบร้อยแล้ว เป็นทาง Kraken เองต่างหากที่ทำการข่มขู่พนักงานของพวกเขา ให้ทำการคืนเงินคริปโตซึ่งเป็นจำนวนที่ “ไม่ตรงกับความเป็นจริง” ภายในช่วงเวลาที่ “ไม่สมเหตุสมผล” โดย “ไม่ระบุ” แม้กระทั่ง Address ที่ต้องการให้ส่งเงินคืนไป

CertiK recently identified a series of critical vulnerabilities in @krakenfx exchange which could potentially lead to hundreds of millions of dollars in losses.

Starting from a finding in @krakenfx's deposit system where it may fail to differentiate between different internal… pic.twitter.com/JZkMXj2ZCD

— CertiK (@CertiK) June 19, 2024

นอกจากนี้ บริษัทตรวจสอบความปลอดภัยชื่อดังยังได้เปิดเผยไทม์ไลน์ในฝั่งของพวกเขา รวมถึงเปิดเผยการทดสอบการทำธุรกรรม ซึ่งทั้งหมดถูกทำขึ้นด้วยการใช้โทเค็น MATIC ของ Polygon

“เนื่องจาก Kraken ไม่ได้ระบุ Address ในการส่งเงินคืน และจำนวนเงินที่เรียกร้องมานั้นก็ไม่ตรงกับความเป็นจริง เราจึงได้ทำการโอนเงินกลับไปยังบัญชีที่พวกเขาจะสามารถเข้าถึงได้ โดยอ้างอิงจากบันทึกของเรา” บริษัทรักษาความปลอดภัยบล็อกเชนชื่อดังระบุ