Kraken, CertiK’in Tartışmalı “Whitehat” Hack’inden Gelen Fonların Geri Döndüğünü Doğruladı

Kripto para endüstrisinde deneyimli bir araştırmacı olarak Kraken ve CertiK arasında yaşanan son olayı ilgi çekici buluyorum. Bu alanda güvenlik açıklarının nasıl ele alındığını görmek her zaman ilginç olmuştur.


Kripto borsası Kraken, güvenlik olayına karışan “araştırmacılar” tarafından yapılan açıklamaya göre, bu yılın başlarında platformundan çalınan 3 milyon doları geri aldığını duyurdu.

“Yeni bilgi: Perşembe günü yayınlanan bir güncellemede Kraken’in Baş Güvenlik Sorumlusu Nick Percoco’ya göre fonlar, bazı işlem ücretleri hariç, başarıyla geri yüklendi.”

Kraken Parasını Geri Aldı

CertiK, Kraken saldırısının ardındaki maskesiz failler olarak bir araya geldi ve Kraken’in sorumluların kimliklerini açıklama konusunda ilk baştaki isteksizliğine rağmen Çarşamba günü onların olaya karıştığını açıkladı.

Günün önceki saatlerinde Percoco, Kraken’in yakın zamanda yetenekli kullanıcıların sitedeki hesap bakiyelerini aşırı derecede artırmasına olanak tanıyan ve böylece Ocak ayından itibaren platformdan herhangi bir miktarda fonu yasadışı bir şekilde çekmelerine olanak tanıyan bir aksaklığı düzelttiğini açıklamıştı.

Haziran ayında CertiK ekibinden Kraken’in sistemindeki bir güvenlik açığına ilişkin bir uyarı aldım. Ne yazık ki, sorun çözülmeden, olası riski göstermek için Kraken Hazinesi’nden 3 milyon dolarlık bir miktar alındı. Ancak sorun tespit edildikten sonra hızla çözüme kavuşturulduğunu ve tekrarının mümkün olmayacağını vurgulamak isterim. Bu süreç boyunca hiçbir müşteri varlığı tehlikeye girmedi.

CertiK ile Kraken arasındaki olayı araştıran bir araştırmacı olarak CertiK’in Kraken’in güvenliğine müdahalesine ilişkin farklı bakış açılarıyla karşılaştım. CertiK, eylemlerini faydalı beyaz şapka operasyonları olarak tanımlarken, Kraken ve daha büyük kripto para birimi topluluğu aynı düşünceyi paylaşmıyor.

Bir kripto yatırımcısı olarak Kraken’in standart beyaz şapka ödül programı prosedürlerine uymamanın ciddi sonuçlara yol açabileceğini anlıyorum. Örneğin, çalındıktan sonra tüm fonların derhal iade edilmemesi, bu programın etik kurallarına aykırıdır. Ayrıca, bir güvenlik açığını sergilemek için gereğinden fazla fon almak aşırı ve haksız olarak algılanabilir. Her iki eylemin de kripto topluluğu içinde olumsuz sonuçlara ve potansiyel olarak yasal sonuçlara yol açması muhtemeldir.

Kraken’a göre CertiK, güvenlik açığı tespit edilmemiş olsaydı şirketin ne kadar potansiyel zararla karşı karşıya kalacağına dair kaba bir hesaplama yapılana kadar fonları iade etmeyi reddetti.

CertiK’in Hack Açıklaması

Buna karşılık CertiK, “onlara sürekli olarak fonları iade edeceğimize dair güvence verdiğini” söyledi.

Kraken’deki güvenlik ekibi, CertiK’in Twitter’da iddia ettiği gibi, belirli CertiK çalışanlarından, gerekli geri ödeme adreslerini açıklamadan, gerçekçi olmayan bir zaman dilimi içinde yanlış miktarda kripto para birimini iade etmelerini talep etti.

Bir kripto yatırımcısı olarak Perşembe günü şirketten tüm fonlarımın iade edildiğine dair onay aldığımda rahatladım. Ancak aldığım tutarın, Kraken aracılığıyla aktarmayı planladığım tutardan farklı olduğunu fark ettim. Şirket, bu tutarsızlığın Kraken’in uyarılarının ve risk kontrollerinin etkinliğini test etmeyi amaçlayan son güvenlik önlemlerinden kaynaklandığını açıkladı. Bu olay sırasında milyonlar kaybetmeme rağmen bu önlemler hiçbir zaman tetiklenmedi ve yatırımlarımın güvenliğini sağlama konusundaki proaktif yaklaşımları için bana minnettar kaldı.

CertiK şunları söyledi: “Bizim tarafımızdan herhangi bir ödül talebi gündeme gelmedi. Bunun yerine, ödülle ilgili tartışmayı başlatan kişi Kraken’di ancak odak noktamız, ödülden ziyade mevcut meseleyi ele almaya devam etti.”

2024-06-20 23:36