Công ty an ninh thành "tin tặc", làm rõ nguyên nhân và diễn biến sự việc Kraken đối đầu CertiK
Tuyển chọn TechFlowTuyển chọn TechFlow
Công ty an ninh thành "tin tặc", làm rõ nguyên nhân và diễn biến sự việc Kraken đối đầu CertiK
Khi những công ty an ninh tự xưng là "mũ trắng" lại hóa thành "tin tặc", ranh giới giữa trắng và đen trong thế giới man rợ của Web3 dường như không còn rõ ràng như trước.
Chuyên sâu báo cáo Web3Tác giả: TechFlow
Ngày 20 tháng 6, chủ đề nóng hổi hôm nay thuộc về cuộc đối đầu giữa sàn giao dịch tiền mã hóa Kraken và công ty an ninh blockchain CertiK – một tranh cãi dư luận trong thế giới crypto đang leo thang. Trên nền tảng X, nhiều nhân vật nổi tiếng trong ngành và các KOL đã lên tiếng chỉ trích CertiK, thậm chí gọi họ là tin tặc tống tiền. Chuyện gì đã xảy ra?
Lâu nay, sàn giao dịch Mỹ Kraken duy trì chương trình thưởng lỗ hổng bảo mật (bug bounty), nhằm khen thưởng những người phát hiện và báo cáo lỗi an ninh.
Giám đốc An ninh của Kraken đăng trên X cho biết, trước đó một nhà nghiên cứu an ninh đã báo cáo một lỗ hổng nghiêm trọng thông qua chương trình này.
Lỗ hổng này cho phép kẻ tấn công tạo ra tài sản trong tài khoản Kraken mà không cần hoàn tất giao dịch nạp tiền. Sau khi nhận được thông tin, đội ngũ Kraken lập tức khắc phục sự cố.
Nhưng sau khi rà soát lại, mọi chuyện không đơn giản như vậy.
Nhà nghiên cứu an ninh nói trên đã tự tăng số dư tài khoản của mình thêm 4 USD. Đồng thời, người này còn chia sẻ lỗ hổng với hai người khác, khiến nhóm này rút khỏi tài khoản Kraken gần 3 triệu USD.
Kraken sau đó tìm cách hợp tác để yêu cầu hoàn trả số tiền, nhưng bị từ chối. Thay vào đó, phía nhà nghiên cứu yêu cầu Kraken phải liên hệ với đội BD (nhóm kinh doanh) của công ty họ, và từ chối hoàn trả bất kỳ đồng nào cho đến khi Kraken đưa ra một con số thiệt hại giả định. Đây rõ ràng không phải hành vi của hacker mũ trắng, mà là hành vi tống tiền!
Đội an ninh Kraken tức giận, cho rằng đây không phải là hành động bảo vệ an ninh mà là tống tiền, và quyết định xử lý vụ việc theo hướng hình sự, phối hợp cùng cơ quan thực thi pháp luật.
Vậy công ty từ chối hoàn trả tiền là ai?
Đúng vậy, chính là nhân vật thứ hai trong bài viết này — công ty an ninh CertiK.
CertiK đã lên tiếng phản hồi cáo buộc, đại ý:
CertiK đã phát hiện một lỗ hổng nghiêm trọng trên sàn Kraken, có thể dẫn đến thiệt hại hàng trăm triệu USD. Qua kiểm thử, họ phát hiện ba vấn đề chính, nghiêm trọng hơn cả là trong suốt nhiều ngày thử nghiệm, không hề kích hoạt bất kỳ cảnh báo nào.
Sau khi lỗ hổng được vá, đội vận hành an ninh của Kraken lại đe dọa nhân viên CertiK phải hoàn trả một lượng tiền mã hóa lớn trong thời gian ngắn bất hợp lý, thậm chí không cung cấp địa chỉ nhận hoàn trả.
CertiK cũng cung cấp dòng thời gian sự kiện, cho thấy họ phát hiện vấn đề từ ngày 5 tháng 6.
Khi sự việc lan rộng, thêm nhiều thông tin được khai thác.
@0xBoboShanti phát hiện một địa chỉ do nhà nghiên cứu an ninh CertiK đăng trên Twitter đã tiến hành dò tìm và thử nghiệm từ ngày 27 tháng 5, điều này mâu thuẫn trực tiếp với dòng thời gian mà CertiK công bố.
Hơn nữa, Giám đốc điều hành Coinbase @jconorgrogan phát hiện CertiK đã tương tác với Tornado Cash – mixer chuyên dùng để rửa tiền. Trong phần bình luận, ông đặt câu hỏi: "Các bạn có biết Tornado Cash đang bị OFAC (Văn phòng Kiểm soát Tài sản Nước ngoài) trừng phạt không? Và trụ sở của các bạn ở Mỹ, đúng chứ?"
Mở các thảo luận trên X về sự việc này, khắp nơi đều là lời chỉ trích, chất vấn CertiK vì sao từ một tổ chức an ninh lại biến thành nhóm tin tặc tống tiền.
Hype, người sáng lập Hype Investments, cho biết:
"CertiK đã đánh cắp 3 triệu USD từ Kraken, đòi tiền thưởng và từ chối hoàn trả. Họ xác nhận tất cả trong một bài đăng, và giờ đang chuyển toàn bộ số tiền sang Tornado.cash để tránh bị cơ quan chức năng phong tỏa."
Adam Cochran, KOL tiền mã hóa nổi tiếng với 210.000 người theo dõi, nói: "CertiK vừa thừa nhận chính họ là công ty an ninh đã đánh cắp dữ liệu từ Kraken và đang cố tống tiền thêm tiền. Xét đến việc các cuộc kiểm toán của CertiK thường xuyên bị hack, mà vẫn tồn tại đến hôm nay thì thật không thể tin nổi. Đơn giản là tội phạm."
Một cư dân mạng bình luận @cryptopsychdoc đưa ra một so sánh thú vị:
"CertiK giống như cô bạn gái ngoại tình mà bạn bắt gặp: khi bạn chất vấn, cô ấy sẽ đổ lỗi ngược lại cho bạn và hỏi tại sao bạn đi xem điện thoại của cô ấy."
CTO của Paradigm đã chia sẻ lại tin tức trước đó về vòng gọi vốn của CertiK với giọng chế giễu: "Gửi lời chúc tốt đẹp đến các đối tác đầu tư, họ sẽ phải giải thích tại sao công ty trong danh mục đầu tư của mình lại xâm nhập vào một sàn giao dịch Mỹ, đánh cắp 3 triệu USD, rồi rửa tiền qua giao thức bị OFAC cấm."
Theo tin tức trước đó, vào tháng 4 năm 2022, CertiK thông báo hoàn tất vòng gọi vốn B3 trị giá 88 triệu USD, do Insight Partners, Tiger Global và Advent International dẫn đầu, với sự tham gia của Goldman Sachs, Sequoia Capital, Lightspeed và các cổ đông cũ. Trong 9 tháng qua, CertiK đã hoàn thành bốn vòng gọi vốn, tổng cộng huy động 230 triệu USD, định giá công ty ở mức 2 tỷ USD.
Chúng tôi đã cố gắng tìm kiếm phản hồi trực tiếp hơn từ CertiK: Khi nào sẽ hoàn trả tài sản? Tại sao không hoàn trả? Nếu số tiền không khớp, thì con số thực tế là bao nhiêu? Vì sao lại tương tác với Tornado Cash?
Nhưng phản hồi mới nhất chúng tôi nhận được là CertiK liên tục nhấn mạnh: "Vấn đề thực sự nên là tại sao hệ thống phòng thủ sâu của Kraken lại không phát hiện được hàng loạt giao dịch thử nghiệm này. Việc rút tiền lớn liên tục từ các tài khoản thử nghiệm khác nhau là một phần trong quy trình kiểm tra của chúng tôi."
Dường như đây là một lời chế giễu — Tại vì ngươi quá yếu thôi!
Nhìn lại toàn bộ diễn biến, khi một công ty an ninh tự xưng là "mũ trắng" lại trở thành "tin tặc", ranh giới đen – trắng trong thế giới man rợ Web3 dường như không còn rõ ràng.
Nơi cay đắng hơn nằm ở chỗ: cái tên CertiK vốn bắt nguồn từ từ "Certification" (chứng nhận). Khi chính "người cấp chứng nhận" lại cần được chứng nhận về đạo đức, cảm giác về một nhóm làm việc thiếu chuyên nghiệp càng thêm rõ rệt.
Don't Trust, Just Verify.
Chào mừng tham gia cộng đồng chính thức TechFlow
Nhóm Telegram:https://t.me/TechFlowDaily
Tài khoản Twitter chính thức:https://x.com/TechFlowPost
Tài khoản Twitter tiếng Anh:https://x.com/BlockFlow_News
深潮TechFlow
