Kisah Kraken-CertiK mengambil pusingan lain. Syarikat keselamatan CertiK mendakwa mereka telah menjalankan operasi topi putih ke atas akaun Kraken tertentu yang bukan milik pelanggan, mengalirkan hampir $3 juta, mengikut Kraken. Walau bagaimanapun, pertukaran tersebut mendakwa jumlah yang dieksploitasi tidak dikembalikan kepadanya, manakala CertiK mendakwa telah mengembalikan semua dana mengikut rekod mereka.
Pada 20 Jun, CertiK mengambil inisiatif untuk memberikan kemaskini mengenai situasi tersebut dan mendakwa mereka telah mengembalikan 734 Ether (ETH), 29,001 Tether (USDT) token dan 1,021 Monero (XMR) koin, manakala Kraken meminta 155,818 Polygon (MATIC) token, 907,400 USDT, 475.5 ETH dan 1,089.8 XMR.
Kraken dakwa eksploit, CertiK kata operasi topi putih
Kisah Kraken-CertiK bermula pada 9 Jun, apabila Kraken mendakwa menerima amaran program ganjaran bug daripada penyelidik keselamatan yang didakwa. Amaran tersebut menyoroti bug dalam sistem Kraken yang membolehkan pengguna membesarkan baki akaun mereka. Apabila pertukaran kripto itu tergesa-gesa membaiki bug tersebut, ia menemui tiga akaun yang telah memanfaatkan kelemahan tersebut, mencuri $3 juta daripada akaun Kraken.
Kraken mendapati salah satu daripada tiga akaun tersebut telah disahkan Kenali Pelanggan (KYC) dan menggunakan bug tersebut untuk mengkreditkan $4 ke akaun mereka.
Pegawai keselamatan utama Kraken, Encik Nick Percoco menyatakan bahawa ini sudah cukup untuk membuktikan bug tersebut dan mendapatkan ganjaran, tetapi akaun tersebut didakwa kemudian berkongsi kelemahan tersebut dengan dua akaun lain, dengan ketiga-tiga akaun tersebut mengambil $3 juta daripada pertukaran itu dalam beberapa hari yang berikutnya.
Apabila pertukaran kripto itu meminta individu yang didakwa sebagai "penyelidik keselamatan" untuk mengembalikan dana dan mengumpul ganjarannya selepas menawarkan bukti onchain yang diperlukan, penggodam topi putih tersebut didakwa enggan memenuhi permintaan itu dan meminta ganjaran dibayar terlebih dahulu. Walaupun Kraken tidak mendedahkan nama syarikat keselamatan di sebalik eksploit "topi putih" itu, CertiK mendedahkan bahawa mereka adalah yang terlibat dalam eksploit Kraken tersebut.
CertiK mendakwa bahawa pekerjanya yang menemui kelemahan tersebut telah diancam untuk mengembalikan dana yang dicuri, tetapi tidak menerima alamat dompet untuk menghantar dana tersebut. Ronghui Gu, salah seorang pengasas CertiK, memberitahu Cointelegraph:
"Konsensus lisan yang dicapai semasa pertemuan kami tidak disahkan kemudian. Pada akhirnya, mereka [Kraken] secara terbuka menuduh kami mencuri dan malah secara langsung mengancam pekerja-pekerja kami, yang adalah tidak dapat diterima."
CertiK dilaporkan menghantar dana yang dicuri ke perkhidmatan pencampuran kripto Tornado Cash untuk mengelakkan dana tersebut dibekukan oleh pertukaran kripto. Tindakan ini memicu banyak kritikan daripada komuniti kripto, yang mempersoalkan motif CertiK di sebalik operasi "topi putih" tersebut.
Berkaitan: Serangan phishing kripto mencapai tahap yang mengkhawatirkan - Rakan Pengasas CertiK
Komuniti kripto menyoal CertiK
Komuniti kripto mengajukan soalan mengapa penyelidik CertiK memindahkan jutaan dolar dana apabila satu transaksi sahaja sudah cukup untuk membuktikan kelemahan tersebut. Orang lain mengingatkan mereka bahawa Tornado Cash adalah alat yang dikenakan sekatan Pejabat Harta Asing (OFAC), dan penggunaannya boleh menarik masalah undang-undang bagi syarikat keselamatan tersebut. Orang lain mempersoalkan sama ada mereka merancang untuk mengembalikan dana dan mengapa mereka menghantarnya ke Tornado Cash.
Majoriti komuniti kripto berpihak kepada Kraken dalam isu ini dan menyoal CertiK atas tingkah laku yang kejam. Ramai yang menuduh mereka "mencuri" dan memeras Kraken untuk mendapatkan ganjaran.
Kraken memberitahu Cointelegraph bahawa mereka sedang berhubung dengan agensi penguatkuasa undang-undang mengenai situasi ini.
Kemaskini: Artikel ini akan dikemaskini dengan komen daripada Kraken dan CertiK.
Majalah: Pemeriksaan keselamatan DeFi dan ganjaran bug rosak: Inilah cara untuk memperbaikinya