CertiK cho biết đã phát hiện lỗi của Kraken và đang chuyển lại tiền cho sàn giao dịch

Công ty bảo mật blockchain CertiK cho biết họ đã phát hiện lỗ hổng trong hệ thống nạp tiền của Kraken và đang chuyển tiền trở lại sàn giao dịch giữa lúc tranh chấp về tiền thưởng lỗi.

Giám đốc An ninh của Kraken, Nick Percoco, đã tiết lộ vào sáng thứ Tư rằng gần 3 triệu đô la đã bị lấy từ ví của họ sau lỗi cho phép bất kỳ ai khởi tạo nạp tiền vào nền tảng và nhận tiền mà không cần hoàn thành giao dịch. Lỗ hổng này đã được khắc phục.

Percoco cáo buộc rằng ba cá nhân liên quan đến một công ty nghiên cứu không được nêu tên đã đứng sau các lần rút tiền và đã từ chối trả lại bất kỳ khoản tiền nào cho đến khi Kraken tiết lộ quy mô tiềm năng của lỗ hổng nếu họ không báo cáo lỗi.

CertiK cho biết lỗ hổng này có nghĩa là hàng triệu đô la có thể được nạp vào bất kỳ tài khoản Kraken nào, và một “lượng lớn tiền điện tử giả (trị giá hơn 1 triệu USD) có thể được rút từ tài khoản và chuyển đổi thành tiền điện tử hợp lệ.”

Công ty bảo mật blockchain tuyên bố không có cảnh báo nào được kích hoạt trong suốt thời gian thử nghiệm kéo dài nhiều ngày của họ và Kraken chỉ phản hồi và khóa các tài khoản thử nghiệm của họ vài ngày sau khi được thông báo.

CertiK đưa ra cáo buộc của riêng mình

Sau một số cuộc thảo luận ban đầu thành công với sàn giao dịch tiền điện tử về việc khắc phục lỗ hổng, CertiK cáo buộc đội ngũ bảo mật của Kraken đã “đe dọa” các nhân viên cá nhân để hoàn trả một lượng tiền điện tử “không khớp” trong khoảng thời gian “không hợp lý” là sáu giờ mà không cung cấp địa chỉ hoàn trả.

Công ty bảo mật đã cung cấp một dòng thời gian của phiên bản sự kiện của riêng mình, tiết lộ các giao dịch nạp tiền thử nghiệm — tất cả đều được thực hiện bằng token MATIC của Polygon.

“Vì Kraken chưa cung cấp địa chỉ hoàn trả và số tiền yêu cầu không khớp, chúng tôi đang chuyển tiền dựa trên hồ sơ của chúng tôi vào một tài khoản mà Kraken sẽ có thể truy cập,” CertiK cho biết.

Kraken chưa phản hồi ngay lập tức yêu cầu bình luận.