Phản hồi của CertiK về cáo buộc tống tiền từ sàn Kraken
Sáng nay, cộng đồng được chứng kiến một drama nóng hổi giữa CertiK và Kraken, khi sàn CEX này cáo buộc CertiK hack 3 triệu USD trên sàn và có hành vi giả danh hacker mũ trắng để “tống tiền”. Ngay sau đó, CertiK đã chính thức phản hồi về cáo buộc này trên X.
Đầu tiên, CertiK nói rằng không có người dùng nào của Kraken bị thiệt hại bởi vì tiền này được khai thác trực tiếp từ kho bạc của Kraken, và nó được mint ra từ không khí do lỗi UX.
CertiK cũng thông báo rằng họ không hề từ chối yêu cầu trả tiền của Kraken trong những cuộc họp và email họ gửi cho Kraken, trong lúc trao đổi CertiK vẫn liên tục bảo đảm rằng phía Kraken sẽ nhận lại tiền.
Sau đó toàn bộ số tiền cũng đã được hoàn trả nhưng không phải là số tiền mà Kraken yêu cầu. CertiK chỉ hoàn trả số tiền này dựa trên dữ liệu on-chain mà họ lưu trữ. Theo đó, CertiK đã hoàn trả 734 ETH, 29,000 USD và 1021 XMR, trong khi đó Kraken lại yêu cầu trả lại 155818 MATIC, 907,400 USDT, 475 ETH, 1089 XMR.
Lý do CertiK khai thác lỗ hổng này nhiều lần trong 5 ngày qua là vì họ muốn kiểm tra lớp bảo mật và khả năng quản lý rủi ro của sàn Kraken. Sau khi nhiều lần rút tiền trị giá 3 triệu USD, hầu như không có cảnh báo nào đến từ Kraken. CertiK cho rằng họ vẫn chưa tìm ra tối đa lượng tiền họ có thể rút từ lỗ hổng này.
CertiK cũng đã liên lạc Kraken và CEO Nick Percoco qua Twitter, LinkedIn và gửi báo cáo hack này qua email công ty.
Công ty bảo mật cũng bày tỏ rằng họ không hề muốn tiền thưởng, mà là phía Kraken đã nhắc về phần tiền thưởng trước. Trong khi Certik đã nói rằng tiền thưởng mũ trắng không phải là chủ đề quan trọng nhất, thay vào đó họ chỉ muốn lỗ hổng trên sàn này được giải quyết sớm nhất.
Phần lớn những địa chỉ ví gửi tiền tiến hành vụ hack đã được gửi toàn bộ cho Kraken thông qua bản báo cáo. Sử dụng thông tin mà CertiK cung cấp, Kraken hoàn toàn có thể truy ra được toàn bộ các địa chỉ ví này. Sau đó sàn Kraken đã khóa tất cả những tài khoản có liên quan, và CertiK cũng công bố tất cả những tx của các ví hack lên cho cộng đồng.
Thế nhưng sau công bố này, có vẻ như cộng đồng vẫn còn rất nhiều câu hỏi dành cho CertiK về việc tại sao họ gửi tiền lên Changenow và Tornado Cash. Ngoài ra, có một người dùng còn hỏi tại sao lượng tiền hack được và lượng tiền được Kraken yêu cầu trả lại chênh lệch 48,000 USD.
Tornado Cash là công ty đã bị OAFC (Văn phòng Kiểm soát Tài sản Nước ngoài của Mỹ) cấm do cáo buộc rằng Tornado Cash đã được sử dụng để rửa tiền, bao gồm cả tiền từ các cuộc tấn công mạng do Triều Tiên thực hiện. Họ đã thêm Tornado Cash vào danh sách đen của mình, cấm mọi giao dịch liên quan đến dịch vụ này bởi các cá nhân và tổ chức của Hoa Kỳ.
Mặc dù đã phản hồi chính thức, tuy nhiên về mặt pháp lý, việc CertiK sử dụng Tornado Cash đã vi phạm luật pháp tại Mỹ. Câu hỏi đặt ra bây giờ là liệu họ có bị trừng phạt bởi chính phủ trong thời gian tới hay không?
Đọc thêm: LayerZero cho claim Airdrop với cơ chế mới. "Bán" token trá hình?