Certik tìm ra lỗ hổng sàn Kraken, “tiện tay” hack luôn 3 triệu USD

CertiK & Cuộc thử nghiệm 3 triệu USD

Tối ngày 19/06/2024, Certik - công ty audit crypto lớn nhất thị trường thông báo rằng đội ngũ hacker mũ trắng của công ty đã tìm ra được lổ hỗng trong sàn Kraken tại mục gửi tiền. 

Hệ thống gửi tiền từ ví lên sàn Kraken bị lỗi, khiến cho giao dịch chưa hoàn thành, nhưng hệ thống UX trên sàn vẫn xác nhận là tiền đã gửi thành công lên sàn, mặc dù tiền vẫn ở trong ví.

Thông qua lỗi này, đội ngũ hacker của CertiK đã thành công lấy đi 3 triệu USD từ kho bạc của sàn, lỗi này không ảnh hưởng tới tài sản của người dùng cá nhân.

Sau đó, CertiK đã báo lỗi này cho Kraken nhưng tất cả những gì họ nhận được là lời “đe dọa” từ nhân viên sàn giao dịch, yêu cầu phải trả lại số tiền này trong vòng 6 tiếng. Mặc dù bên sàn Kraken không hề đưa ra địa chỉ ví nhận tiền.

Theo CertiK, hàng triệu USD có thể được nạp vào BẤT KỲ tài khoản Kraken nào. Tệ hơn nữa, không có cảnh báo nào được kích hoạt trong suốt thời gian thử nghiệm kéo dài nhiều ngày.

CertiK cho rằng Kraken chỉ phản hồi và khóa các tài khoản thử nghiệm sau nhiều ngày khi họ chính thức thông báo sự cố. Công ty bảo mật này cũng yêu cầu Kraken ngưng đe dọa nhân viên của họ và CertiK sẽ chuyển toàn bộ số tiền hack được vào tài khoản mà Kraken có thể thu hồi được.

Kraken phản hồi: “Đây là tống tiền!”

Nick Percoco - CEO của Kraken đã đăng một thread trên X tóm tắt toàn bộ sự việc từ góc nhìn của sàn Kraken.

Bắt đầu từ việc tối ngày 9/06/2024 đã có một nghiên cứu viên bảo mật gửi mail về cho sàn Kraken, nói rằng anh đã tìm ra được mỗi lỗi vô cùng nghiêm trọng có thể thay đổi số dư tài khoản trên sàn.

1 tiếng sau khi nhận được mail, sàn đã dán nhãn lỗ hổng này đạt mức cao nhất là “critical” (nghiêm trọng). Đội ngũ sàn Kraken đã tìm ra được là lỗi ở UX khi tài sản được gửi từ ví lên sàn, mặc dù chưa thành công nhưng vẫn sẽ thay đổi số dư trên sàn.

Sau khi nghiên cứu, Kraken phát hiện ra rằng có 3 tài khoản đã tận dụng lỗ hổng này, trong đó có 1 tài khoản được cho là của một nghiên cứu viên bảo mật đã được KYC.

Ban đầu, nghiên cứu viên này chỉ hack 4 USD, người này hoàn toàn có thể ngưng ở đây và nộp đơn nhận tiền thưởng từ sàn Kraken. Nhưng thay vào đó, người này cùng 2 người khác làm việc với nhau và tiếp tục rút tiền từ sàn.

Trong những ngày từ ngày 06/06 đến ngày 09/06, những hacker này đã thành công lấy đi 3 triệu USD trị giá MATIC từ sàn Kraken.

Kraken liên lạc với các cá nhân này vào ngày 10/06 để xác định thông tin, và thưởng cho họ bằng cách yêu cầu những người này cung cấp mọi thông tin liên quan cũng như hoạt động on-chain. Qua đó xác nhận thời gian chính xác họ sẽ trả lại tiền cho sàn.

Nick Percoco nói thêm rằng những hacker không đồng ý và yêu cầu đội ngũ BD sàn Kraken phải liên lạc để nói chuyện. Các hacker này yêu cầu Kraken trả tiền thưởng tương đương với số tiền mà bug này có thể tạo ra nếu họ không báo cáo.

Cộng đồng nói gì về CertiK và Kraken?

Một số người cho rằng, việc CertiK tiếp tục khai thác lỗ hổng trong nhiều ngày mà không thông báo cho sàn giao dịch là một việc vô cùng nhạy cảm. Trong 5 ngày họ liên tục rút tiền từ sàn mà không thông báo cho sàn và yêu cầu tiền thưởng, đây đúng hơn là một vụ tống tiền.

Nhiều người cũng nói thêm rằng, nếu theo luật trả tiền thưởng của Kraken, đội ngũ của CertiK sẽ không được nhận tiền thưởng bởi vì đã vi phạm tiêu chuẩn ngành.

Một vài người còn lại cho rằng việc CertiK làm là đúng và việc họ thông báo cho Kraken và yêu cầu tiền thưởng là tương xứng, việc họ hack tới 3 triệu USD là để minh chứng rằng lỗ hổng này có thể nghiêm trọng tới nhường nào.

Điểm đặc biệt là trong khoảng thời gian xảy ra vụ việc này, hacker đã đem một số MATIC lấy được từ sàn đem vào máy trộn crypto Tornado Cash. Hành động này cực kỳ khó hiểu và có thể gây hiểu lầm là các hacker này đang muốn hoàn toàn chiếm đoạt số tiền.

Drama vẫn chưa dừng lại, liệu sẽ có những chuyển biến lớn gì tiếp theo?

Đọc thêm: Founder Jupiter đề xuất giảm 30% tổng cung token JUP