A saga Kraken-CertiK tomou outro rumo. A empresa de segurança CertiK afirma ter realizado uma operação white hat em contas específicas da Kraken que não pertenciam a clientes, drenando quase US$ 3 milhões, de acordo com a Kraken. No entanto, a exchange afirma que o valor total explorado não foi devolvido a ela, enquanto a CertiK afirma ter devolvido todos os fundos conforme seus registros.
Em 20 de junho, a CertiK foi ao X para dar uma atualização sobre a situação e afirmou ter devolvido 734 Ether (ETH), 29.001 Tether (USDT) e 1.021 Monero (XMR), enquanto a Kraken solicitou 155.818 Polygon (MATIC), 907.400 USDT, 475,5 ETH e 1.089,8 XMR.
Kraken afirma exploração, CertiK diz que foi uma operação white hat
A saga Kraken-CertiK começou em 9 de junho, quando a Kraken afirmou ter recebido um alerta de programa de recompensas por bugs de um suposto pesquisador de segurança. O alerta destacava um bug no sistema da Kraken que permitia aos usuários inflar seus saldos de contas. Quando a exchange de criptomoedas se apressou para corrigir o bug, descobriu três contas que haviam aproveitado a falha, roubando US$ 3 milhões da conta da Kraken.
A Kraken descobriu que uma das três contas estava verificada por Conheça Seu Cliente (KYC) e usou o bug para creditar US$ 4 em sua conta.
O diretor de segurança da Kraken, Nick Percoco, disse que isso teria sido suficiente para provar o bug e reivindicar a recompensa, mas a conta supostamente compartilhou a falha com duas outras contas, com todas as três embolsando US$ 3 milhões da exchange nos dias seguintes.
Quando a exchange de criptomoedas pediu ao suposto “pesquisador de segurança” que devolvesse os fundos e coletasse sua recompensa após oferecer as provas onchain necessárias, o hacker white hat supostamente se recusou a atender ao pedido e pediu para que a recompensa fosse paga primeiro. Embora a Kraken não tenha revelado o nome da empresa de segurança por trás da exploração “white hat”, a CertiK revelou que estava por trás da exploração da Kraken.
A CertiK afirmou que seu funcionário que descobriu a vulnerabilidade foi ameaçado a devolver os fundos roubados, mas não recebeu um endereço de carteira para enviar os fundos. Ronghui Gu, cofundador da CertiK, disse ao Cointelegraph:
“O consenso verbal alcançado durante nossa reunião não foi confirmado posteriormente. No final, eles [Kraken] nos acusaram publicamente de roubo e até ameaçaram diretamente nossos funcionários, o que é completamente inaceitável.”
A CertiK supostamente enviou os fundos roubados para o serviço de mixagem de criptomoedas Tornado Cash para evitar que fossem congelados por exchanges de criptomoedas. O movimento desencadeou muitas críticas da comunidade cripto, que questionou o motivo da CertiK por trás da operação “white hat”.
Comunidade cripto critica a CertiK
A comunidade cripto levantou questões sobre por que os pesquisadores da CertiK moveram milhões de dólares em fundos quando uma única transação poderia ter provado a vulnerabilidade. Outros lembraram que o Tornado Cash é uma ferramenta sancionada pelo Escritório de Controle de Ativos Estrangeiros (OFAC), e usá-la poderia atrair problemas legais para a empresa de segurança. Outros questionaram se a empresa planejava devolver os fundos e por que os enviou para o Tornado Cash.
A maioria da comunidade cripto apoiou a Kraken na questão e criticou a CertiK por seu comportamento implacável. Muitos os acusaram de “roubo” e de chantagear a Kraken pela recompensa.
A Kraken disse ao Cointelegraph que está em contato com as agências de aplicação da lei sobre a situação.