De Verdwenen Fondsen: Kraken vs. CertiK
De saga tussen Kraken en CertiK wordt steeds ingewikkelder. Wat begon als een goedbedoelde “white hat” operatie door CertiK is nu een juridisch conflict.
Wat gebeurde er?
Op 9 juni meldde Kraken dat er een fout in hun systeem was ontdekt. Deze fout maakte het mogelijk om het saldo van gebruikersaccounts te verhogen. CertiK, een beveiligingsbedrijf, haalde bijna $3 miljoen van een paar Kraken-accounts die niet tot klanten behoorden. Kraken beweert nu dat niet alle fondsen zijn teruggegeven, terwijl CertiK zegt dat ze alles hebben teruggestort.
Op 20 juni verklaarde CertiK op X (voorheen Twitter) dat het 734 Ether (ETH), 29.001 Tether (USDT) en 1.021 Monero (XMR) had teruggegeven. Kraken claimt echter dat ze om 155.818 Polygon (MATIC), 907.400 USDT, 475,5 ETH en 1.089,8 XMR hadden gevraagd.
Bug Bounty of Exploit?
Het conflict begon toen Kraken een melding kreeg van een beveiligingsonderzoeker over een fout in hun systeem. Deze fout stelde gebruikers in staat hun saldo te verhogen. Tijdens het oplossen van deze fout ontdekte Kraken drie accounts die gebruik hadden gemaakt van de bug en $3 miljoen hadden gestolen.
Een van de drie accounts was geverifieerd en gebruikte de bug om $4 aan hun saldo toe te voegen. Volgens Nick Percoco, Chief Security Officer van Kraken, was dit voldoende geweest om de bug te bewijzen en de bounty te claimen. Maar dit account zou de fout hebben gedeeld met twee andere accounts, waardoor ze gezamenlijk $3 miljoen van Kraken stalen.
Toen Kraken de onderzoeker vroeg de fondsen terug te geven en de bounty te claimen na het leveren van onchain-bewijzen, weigerde de onderzoeker en eiste eerst de bounty. CertiK onthulde later dat zij verantwoordelijk waren voor de exploit.
Reactie van CertiK
CertiK beweerde dat hun medewerker die de fout ontdekte, werd bedreigd om de gestolen fondsen terug te geven, maar geen walletadres ontving om de fondsen naartoe te sturen. Ronghui Gu, medeoprichter van CertiK, vertelde Cointelegraph:
“De mondelinge afspraak die tijdens onze vergadering werd gemaakt, werd later niet bevestigd. Uiteindelijk beschuldigden ze [Kraken] ons publiekelijk van diefstal en bedreigden ze zelfs onze medewerkers, wat onacceptabel is.”
Kritiek vanuit de Crypto Community
De crypto-community bekritiseerde CertiK hevig. Waarom verplaatste CertiK miljoenen dollars aan fondsen wanneer één transactie voldoende zou zijn geweest om de fout te bewijzen? Bovendien gebruikten ze Tornado Cash, een crypto mixing service die door het Office of Foreign Assets Control (OFAC) is gesanctioneerd. Dit kan juridische problemen opleveren voor CertiK.
Veel leden van de crypto-community kozen de kant van Kraken en beschuldigden CertiK van “diefstal” en chantage. Kraken heeft inmiddels contact opgenomen met de wetshandhavingsinstanties om de situatie verder te onderzoeken.
Het is nog onduidelijk wat de uitkomst van deze zaak zal zijn, maar het heeft al geleid tot veel discussie binnen de crypto-gemeenschap. Wat denk jij hierover? Laat het ons weten in de reacties!