جنجال بین کراکن و سرتیک بر سر ۳ میلیون دلار پول حاصل از عملیات هک سفید

درگیری اخیر بین شرکت‌های امنیتی سرتیک و کراکن، مسائل مهمی را در رابطه با سوء استفاده از یک باگ امنیتی برجسته کرده است. این باگ به یک تیم تحقیقاتی از سرتیک اجازه داد تا حدود ۳ میلیون دلار به صورت غیرمجاز از خزانه‌ی کراکن برداشت کند.

هر دو طرف ماجرا روایت‌های متفاوتی از این اتفاق ارائه کرده‌اند که پرسش‌های جدی در مورد ماهیت هک اخلاقی، پروتکل‌های ارتباطی و نحوه‌ی صحیح برخورد با آسیب‌پذیری‌های کشف‌شده را مطرح می‌سازد.

ریشه اختلاف

شرکت صرافی ارز دیجیتال کراکن، به‌تازگی به دلیل سوءاستفاده از یک باگ امنیتی توسط یک تیم تحقیقاتی امنیتی، حدود ۳ میلیون دلار از دست داد. این تیم تحقیقاتی در ابتدا باگ مذکور را گزارش کرده بودند. نیکولاس پرکو، مدیر ارشد امنیت کراکن، این تیم را به اخاذی متهم کرده است. به ادعای او، این تیم در ازای بازگرداندن وجوه دزدیده‌شده، درخواست پاداش کرده و از بازگرداندن پول‌ها بدون دریافت مبلغی نامشخص برای خسارات احتمالی خودداری کرده‌اند.

طبق گفته‌های پرکو، این باگ امنیتی که برای اولین بار در تاریخ ۹ ژوئن گزارش شد، به تیم تحقیقاتی اجازه داد تا بیش از ۳ میلیون دلار از خزانه‌ی کراکن خارج کنند. این تیم با وجود اطلاع‌رسانی به کراکن در مورد این حفره‌ی امنیتی بحرانی، اقدام به سوءاستفاده از آن نمودند.

کراکن ضمن تأیید اینکه دارایی‌های دزدیده‌شده از خزانه‌ی آن‌ها بوده، به کاربران خود اطمینان داد که وجوه‌ی آن‌ها در امنیت است. علاوه بر این، این صرافی در حال همکاری با مراجع قضایی برای بازیابی وجوه‌ی دزدیده‌شده می‌باشد.

پرکو همچنین ادامه داد که یکی از حساب‌های درگیر در این سوءاستفاده، مراحل احراز هویت مشتری (KYC) را تکمیل کرده است. به نظر می‌رسد تیم تحقیقاتی مظنون، در ابتدا با انتقال ۴ دلاری ارز دیجیتال، درستی باگ را به کراکن نشان دادند که برای دریافت پاداش از این صرافی کافی بود. با این حال، برداشت بعدی به ارزش تقریبی ۳ میلیون دلار، نگرانی‌های اخلاقی را به وجود آورد.

شرکت سرتیک بعداً خود را به‌عنوان تیم درگیر معرفی کرد و ادعا کرد که کراکن کارمندانش را تهدید کرده است. پرکو ضمن ابراز ناامیدی اظهار داشت که درخواست کراکن برای بازگرداندن وجوه با اتهام عدم حرفه‌ای‌گری مواجه شده است.

اختلاف بر سر عملیات هک سفید کراکن و سرتیک

چند سوال اساسی در مورد ماهیت این جنجال اخیر و اقدامات انجام‌شده توسط هر دو طرف مطرح شده است.

بنابراین، سرتیک برای شفاف‌سازی، اعلام کرد که هیچ دارایی واقعی از کاربران کراکن در فعالیت‌های تحقیقاتی آن‌ها دخیل نبوده است، زیرا ارزهای دیجیتالی مورد استفاده، به صورت مصنوعی ایجاد شده‌اند. سرتیک با وجود اتهامات، به طور مداوم به کراکن اطمینان داده است که وجوه را پس خواهد داد، که این کار را نیز انجام داده است.

با این حال، کل مبلغ بازگردانده‌شده با درخواست کراکن مطابقت ندارد. سرتیک مبلغ ۷۳۴.۱۹۲۱۵ اتریوم، ۲۹،۰۰۱ تتر و ۱۰۲۱.۱ مونرو را بازگرداند، در حالی که کراکن درخواست کننده‌ی ۱۵۵۸۱۸.۴۴۶۸ ماتیک، ۹۰۷۴۰۰.۱۸۰۳ تتر، ۴۷۵.۵۵۵۷۸۷۱ اتریوم و ۱۰۸۹.۷۹۴۷۳۷ مونرو بود.

سرتیک توضیح داد که دلیل انجام چندین آزمایش بزرگ‌مقیاس، ارزیابی محدودیت‌های کنترل‌های حفاظتی و ریسک کراکن بوده است. سرتیک همچنین خاطرنشان کرد که با وجود انجام آزمایش‌هایی با ارزهای دیجیتالی به ارزش تقریبی ۳ میلیون دلار طی چند روز، هیچ هشداری فعال نشده است.

تیم امنیتی سرتیک ادعا می کند که جزئیات کامل آسیب پذیری را به سرعت در اختیار کراکن قرار داده است و بر اساس گزارش آنها، کراکن توانسته این مشکل را ظرف مدت 47 دقیقه برطرف سازد. آنها همچنین اعلام کرده اند که در برنامه باگ‌بانتی (bounty program) کراکن شرکت نکرده اند و هیچ قصد و نیتی برای دریافت پاداش نداشته اند. اولویت اصلی آنها اطمینان از رفع این مشکل بوده است.

اگرچه لیست کاملی از تراکنش ها را برای کراکن ارسال نکرده اند، اما از روز اول آدرس های واریز کلان را در اختیار این صرافی قرار داده اند تا کراکن بتواند تمام تراکنش ها را شناسایی و حساب های مرتبط را مسدود کند. سرتیک همچنین تمامی تراکنش های واریز را به صورت عمومی منتشر کرده است.

واکنش جامعه ارز دیجیتال

این جنجال پیرامون سرتیک، واکنش های شدیدی را در جامعه ارز دیجیتال به دنبال داشته است. چهره های برجسته ای مانند آدام کوچران و اریک وورهیس در مورد این وضعیت اظهار نظر کرده اند. کوچران اشاره کرد که حسابرسان امنیتی سرتیک دارایی ها را از طریق سرویس تحریم شده‌ی تورنادو کش (Tornado Cash) جابجا کرده اند و سپس آنها را از طریق صرافی چنج‌نو (ChangeNOW) که الگویی مرتبط با گروه های هکری مانند لازاروس است، نقد کرده اند. او همچنین ادعا کرد که «گروه لازاروس بیش از هر گروه دیگری، پروتکل های حسابرسی شده توسط سرتیک را هک کرده است.»

در میان بحث ها، برخی به این شرکت یادآوری کردند که تورنادو کش ابزاری است که توسط اداره کنترل دارایی های خارجی (OFAC) تحریم شده است و هشدار دادند که استفاده از آن می تواند منجر به مشکلات قانونی شود. به عنوان یک شرکت آمریکایی، استفاده از ابزاری که توسط ایالات متحده تحریم شده است، می تواند برای سرتیک مشکلات حقوقی سنگینی به دنبال داشته باشد.

اریک وورهیس در صورتی که سرتیک در آمریکا مستقر نباشد، در مورد ارتباط تحریم ها ابهام ایجاد کرد. کوچران در پاسخ با اشاره به اینکه بنیانگذاران سرتیک استادان دانشگاهی آمریکایی هستند و دفتر مرکزی این شرکت در ایالات متحده قرار دارد، بر این موضوع تاکید کرد.

اعضای جامعه نگرانی خود را در مورد وخامت اوضاع ابراز کردند. کاربری با نام مستعار «@ToroTheDog» در توییتر بر جدیت نقض قوانین OFAC تاکید کرد و پیشنهاد داد که سرتیک به مشاوره حقوقی فوری نیاز دارد. سوالاتی در مورد قصد این شرکت برای بازگرداندن وجوه و همچنین دلیل ارسال آنها به تورنادو کش همچنان مطرح است.

در همین حال، کراکن به کاربران خود اطمینان داد که وجوه آنها هرگز در معرض خطر نبوده است و متعهد به بازیابی دارایی های به سرقت رفته است. این صرافی همچنان بر موضع خود در قبال سرتیک استوار است و این شرکت را به اقدامات غیر اخلاقی متهم کرده و خواستار بازگشت تمامی وجوه برداشت شده می باشد.