Detalhe que Certik não é mais nome de peso entre os grandes projetos.
Hoje em dia eu vejo com melhores olhos empresas de auditoria como Trail of Bits, OpenZeppelin, Pashov Group. Esse pessoal que audita os grandes projetos tier 1, aqueles que realmente inovam no DeFi (por acaso todo fork é copia desses projetos). Projetos como Uniswap, Compound, Aave, Ethena. Também tem uns auditores independentes que fazem um trabalho 10x melhor.
Topic: Kraken vs Certik (Read 257 times)
Mas como a Certik trabalha com a credibilidade, se eles perdem isso então será bem dificil de viver e manter as coisas em pé.
Sim, é verdade. Mas, isto acaba por ser o jogo do rato e de gato.
A Certik joga essa estratégia meio "ameaça", e as empresas acaba por ir cedendo pois vão vendo parte de alguns problemas resolvido. E as coisas vão passando. Quando surgem casos destes, a Certik vai se defendendo a dizer que avisou e a empresa é que não quis resolver.
Agora, parece que mais empresas se estão a queixar dessa atitude mais agressiva da Certik.
A tendencia é eles pararem de ser referencia ou sinônimo de qualidade na validação e segurança de coins. Qualquer pessoa esperta, nesse momento, estaria promovendo sua empresa para competir com a certik e aproveitar essa baixa deles.
Mas como a Certik trabalha com a credibilidade, se eles perdem isso então será bem dificil de viver e manter as coisas em pé.
Sim, é verdade. Mas, isto acaba por ser o jogo do rato e de gato.
A Certik joga essa estratégia meio "ameaça", e as empresas acaba por ir cedendo pois vão vendo parte de alguns problemas resolvido. E as coisas vão passando. Quando surgem casos destes, a Certik vai se defendendo a dizer que avisou e a empresa é que não quis resolver.
Agora, parece que mais empresas se estão a queixar dessa atitude mais agressiva da Certik.
Outra denuncia contra a Certik...
Eles listam projetos sem permissão na sua plataforma "SkyNet" e lhes atribuem uma nota. Depois dizem que a nota pode ser melhorada se eles contratarem a auditoria e serviço de KYC da empresa, meio que uma chantagem.
Eles listam projetos sem permissão na sua plataforma "SkyNet" e lhes atribuem uma nota. Depois dizem que a nota pode ser melhorada se eles contratarem a auditoria e serviço de KYC da empresa, meio que uma chantagem.
Pois... é o que eu estava a pensar.
A abordagem da Certik, é meio de uma de chantagem indireta. A Kraken deve-se se ter fartado disso, e já vimos o que aconteceu.
É sempre complicado, utilizar estes serviços externos, coloca sempre a empresa numa posição desfavorável.
Mas nesse jogo, acredito eu, que a Certik saia perdendo credibilidade, mais do que a Kraken. Pois para a exchange é um erro a ser corrigido e credibilidade a ser reparada e eles sempre terão clientes.
Mas como a Certik trabalha com a credibilidade, se eles perdem isso então será bem dificil de viver e manter as coisas em pé.
Outra denuncia contra a Certik...
Eles listam projetos sem permissão na sua plataforma "SkyNet" e lhes atribuem uma nota. Depois dizem que a nota pode ser melhorada se eles contratarem a auditoria e serviço de KYC da empresa, meio que uma chantagem.
Eles listam projetos sem permissão na sua plataforma "SkyNet" e lhes atribuem uma nota. Depois dizem que a nota pode ser melhorada se eles contratarem a auditoria e serviço de KYC da empresa, meio que uma chantagem.
Pois... é o que eu estava a pensar.
A abordagem da Certik, é meio de uma de chantagem indireta. A Kraken deve-se se ter fartado disso, e já vimos o que aconteceu.
É sempre complicado, utilizar estes serviços externos, coloca sempre a empresa numa posição desfavorável.
Estava acompanhando essa treta.. a Kraken se queimou bastante:
Por sorte foi a Certik e não outro hacker.. eles sacaram US$ 3 milhões e os sistemas da Kraken nem "apitaram".. qual seria o limite? secar a hot wallet?
Eu que não deixo dinheiro em corretora, Kraken ou qualquer outra.. toda hora tem um maluco testando a segurança delas.
Agora, a história da Certik é meio estranha também.. vi relatos que estavam passando parte dos fundos pro Tornado Cash e outros mixers (https://decrypt.co/236323/tornado-cash-certik-defense-kraken-extortion-claims e https://x.com/tayvano_/status/1803656312087257350) antes de devolverem os fundos
Queria saber quanto a Kraken queria pagar para a Certik.. o maior prêmio já pago foi de míseros US$ 60.100 e a média é de US$ 2.046 (https://www.kraken.com/features/security/bug-bounty)
Quote from: https://x.com/CertiK/status/1803471653751423454
A resposta frequente de uma exchange fraca ao encontrar um bug de segurança é se gabar de seu forte controle de risco e sistema de defesa aprofundado (que eles afirmam impedir qualquer perda significativa). A CertiK colocou isso à prova com a Kraken, e eles falharam miseravelmente.
Por sorte foi a Certik e não outro hacker.. eles sacaram US$ 3 milhões e os sistemas da Kraken nem "apitaram".. qual seria o limite? secar a hot wallet?
Eu que não deixo dinheiro em corretora, Kraken ou qualquer outra.. toda hora tem um maluco testando a segurança delas.
Agora, a história da Certik é meio estranha também.. vi relatos que estavam passando parte dos fundos pro Tornado Cash e outros mixers (https://decrypt.co/236323/tornado-cash-certik-defense-kraken-extortion-claims e https://x.com/tayvano_/status/1803656312087257350) antes de devolverem os fundos
Queria saber quanto a Kraken queria pagar para a Certik.. o maior prêmio já pago foi de míseros US$ 60.100 e a média é de US$ 2.046 (https://www.kraken.com/features/security/bug-bounty)
Vai ver eles fizeram isso tudo para passar como Hacker, mas como foi descoberto eles acabaram dizendo que estavam testando o sistema. Não faz sentido, deve ter alguém da exchange ajudando em algo para isso ter ocorrido. Sacar tudo e não ter nada avisando é estranho.
Outra denuncia contra a Certik...
Eles listam projetos sem permissão na sua plataforma "SkyNet" e lhes atribuem uma nota. Depois dizem que a nota pode ser melhorada se eles contratarem a auditoria e serviço de KYC da empresa, meio que uma chantagem.
https://x.com/moo9000/status/1805929692295221577
"CertiK now blackmailing projects to buy their audit services by listing the project without permission under "Skynet" where you can only get better scores by buying CertiK audit and CertiK KYC."
E confirmado por outro projeto: https://x.com/dizhel/status/1805953947254825429
"Happend to us. They dug out some archived PoC smart contract in some obscure repo and "audited" it. Needless to say it was just a essentially template cloned from OpenZeppelin. Yet here it goes: 🤡"
Eles listam projetos sem permissão na sua plataforma "SkyNet" e lhes atribuem uma nota. Depois dizem que a nota pode ser melhorada se eles contratarem a auditoria e serviço de KYC da empresa, meio que uma chantagem.
https://x.com/moo9000/status/1805929692295221577
"CertiK now blackmailing projects to buy their audit services by listing the project without permission under "Skynet" where you can only get better scores by buying CertiK audit and CertiK KYC."
E confirmado por outro projeto: https://x.com/dizhel/status/1805953947254825429
"Happend to us. They dug out some archived PoC smart contract in some obscure repo and "audited" it. Needless to say it was just a essentially template cloned from OpenZeppelin. Yet here it goes: 🤡"
Eu começo achar essa historia um pouco mal contada. Os argumentos de ambos os lados, fazem sentido, mas ao mesmo tempo não fazem sentido.
Será que no meio não ocorreu algum tipo de chantagem de ambas as partes? E agora, estão as duas a tentar acusar-se uma a outra, para justificar ambas as atitudes.
Será que no meio não ocorreu algum tipo de chantagem de ambas as partes? E agora, estão as duas a tentar acusar-se uma a outra, para justificar ambas as atitudes.
Estava acompanhando essa treta.. a Kraken se queimou bastante:
Por sorte foi a Certik e não outro hacker.. eles sacaram US$ 3 milhões e os sistemas da Kraken nem "apitaram".. qual seria o limite? secar a hot wallet?
Eu que não deixo dinheiro em corretora, Kraken ou qualquer outra.. toda hora tem um maluco testando a segurança delas.
Agora, a história da Certik é meio estranha também.. vi relatos que estavam passando parte dos fundos pro Tornado Cash e outros mixers (https://decrypt.co/236323/tornado-cash-certik-defense-kraken-extortion-claims e https://x.com/tayvano_/status/1803656312087257350) antes de devolverem os fundos
Queria saber quanto a Kraken queria pagar para a Certik.. o maior prêmio já pago foi de míseros US$ 60.100 e a média é de US$ 2.046 (https://www.kraken.com/features/security/bug-bounty)
Quote from: https://x.com/CertiK/status/1803471653751423454
A resposta frequente de uma exchange fraca ao encontrar um bug de segurança é se gabar de seu forte controle de risco e sistema de defesa aprofundado (que eles afirmam impedir qualquer perda significativa). A CertiK colocou isso à prova com a Kraken, e eles falharam miseravelmente.
Por sorte foi a Certik e não outro hacker.. eles sacaram US$ 3 milhões e os sistemas da Kraken nem "apitaram".. qual seria o limite? secar a hot wallet?
Eu que não deixo dinheiro em corretora, Kraken ou qualquer outra.. toda hora tem um maluco testando a segurança delas.
Agora, a história da Certik é meio estranha também.. vi relatos que estavam passando parte dos fundos pro Tornado Cash e outros mixers (https://decrypt.co/236323/tornado-cash-certik-defense-kraken-extortion-claims e https://x.com/tayvano_/status/1803656312087257350) antes de devolverem os fundos
Queria saber quanto a Kraken queria pagar para a Certik.. o maior prêmio já pago foi de míseros US$ 60.100 e a média é de US$ 2.046 (https://www.kraken.com/features/security/bug-bounty)
Acredito que eles literalmente dão acesso a alguma informação de alto nível para poderem testar tanto a nível. Se parar pra pensar, acredito que eles não vão fazer o teste de unidade (a nível de código) mas provavelmente façam de integração com sistemas e os demais níveis.
Sim, também pode acontecer.
Mas, normalmente essas empresas tem como objetivo testar tudo o que um utilizador pode fazer, para detectar erros. Claro que depois a complexidade dos testes, variam conforme o tipo de produto que esta a ser desenvolvido.
Por exemplo, os testers de jogos, vão tentar procurar no jogo algum bug. Imagina um jogo de corridas de carros, talvez o tester irá levar o carro contra as barreiras, para ver se em algum ponto da pista, o carro consegue passar a barreira. A maioria dos jogadores do jogo, não vão fazer isso. Mas um tester tem de pensar em todos os cenários possíveis que possam acontecer, para minimizar os erros.
Na programação destas exchanges, são coisas parecidas que são feitas, mas num nível bem extremo. Além de investigar como um hacker agiria para tentar ultrapassar as barreiras da plataforma.
Isso não faz sentido em crypto.
O que os auditores recebem são os códigos do contrato. E esses códigos são os mesmos usados em produção, na rede. Além do mais, o código que roda os protocolos sempre é 100% aberto, 24 horas por dia. Não existe nenhum tipo de segredo exatamente pois crypto funciona na base do open code. Toda blockchain é aberta e cada tx é reproduzível do começo ao fim.
O que os auditores recebem são os códigos do contrato. E esses códigos são os mesmos usados em produção, na rede. Além do mais, o código que roda os protocolos sempre é 100% aberto, 24 horas por dia. Não existe nenhum tipo de segredo exatamente pois crypto funciona na base do open code. Toda blockchain é aberta e cada tx é reproduzível do começo ao fim.
Então pronto, eles acaba por não ter acesso a informação privilegiada ou diferenciada. O que pode ser diferente é terem informação mais cedo.
E talvez eles apenas saibam de coisas que foram feitas e não chegaram a ser lançadas.
Acredito que o elemento chave, é que eles estão tão habituados a lidar com essa plataforma, e com os seus programadores, que eles consegue perceber como essa empresa costuma programar. E entendem profundamente como tudo funciona, e isso dá uma grande vantagem ao olhar para o código.
No final, continua sempre haver a possibilidade de ser encontrado um bug e não ser reportado, pela empresa ou pelo programador que identificou o bug.
Acredito que eles literalmente dão acesso a alguma informação de alto nível para poderem testar tanto a nível. Se parar pra pensar, acredito que eles não vão fazer o teste de unidade (a nível de código) mas provavelmente façam de integração com sistemas e os demais níveis.
Isso não faz sentido em crypto.
O que os auditores recebem são os códigos do contrato. E esses códigos são os mesmos usados em produção, na rede. Além do mais, o código que roda os protocolos sempre é 100% aberto, 24 horas por dia. Não existe nenhum tipo de segredo exatamente pois crypto funciona na base do open code. Toda blockchain é aberta e cada tx é reproduzível do começo ao fim.
O que os auditores recebem são os códigos do contrato. E esses códigos são os mesmos usados em produção, na rede. Além do mais, o código que roda os protocolos sempre é 100% aberto, 24 horas por dia. Não existe nenhum tipo de segredo exatamente pois crypto funciona na base do open code. Toda blockchain é aberta e cada tx é reproduzível do começo ao fim.
Então pronto, eles acaba por não ter acesso a informação privilegiada ou diferenciada. O que pode ser diferente é terem informação mais cedo.
E talvez eles apenas saibam de coisas que foram feitas e não chegaram a ser lançadas.
Acredito que o elemento chave, é que eles estão tão habituados a lidar com essa plataforma, e com os seus programadores, que eles consegue perceber como essa empresa costuma programar. E entendem profundamente como tudo funciona, e isso dá uma grande vantagem ao olhar para o código.
No final, continua sempre haver a possibilidade de ser encontrado um bug e não ser reportado, pela empresa ou pelo programador que identificou o bug.
Outro detalhe é que um auditor da Certik ou outra empresa de auditoria de códigos pode muito bem encontrar algo e não reportar. Depois de alguns anos ele vai lá e rouba os fundos, como alguem diz que foi ele?
E há incentivo para isso... ganhar, sei lá, $100k ao ano auditando e reportando por bug bounties ou fazer o exploit você mesmo e levar milhões para casa (ainda que sujos, e de dificil uso)? Certamente deve ter algo por aí que já aconteceu desse jeito.
E há incentivo para isso... ganhar, sei lá, $100k ao ano auditando e reportando por bug bounties ou fazer o exploit você mesmo e levar milhões para casa (ainda que sujos, e de dificil uso)? Certamente deve ter algo por aí que já aconteceu desse jeito.
Auditoria a códigos não é algo novo. Por isso, acredito que exista um conjunto de orientações que permitem evitar isso.
Com base em algumas coisas que eu li, a empresa auditora não tem acesso ao código em contexto de produção, apenas em contexto final - aquele que fica disponível ao publico. A diferença é que ela tem acesso ao software primeiro, para poder trabalhar com ele e verificar se tudo funciona ou se existe algum bug.
Por isso, a partida eles não tem muito mais detalhes do que o publico em geral tem. Apenas tem é o conhecimento técnico para analisar profundamente o produto final.
Agora, existe sempre a possibilidade de não divulgar algum bug que encontram. Mas, isso já será difícil de controlar.
O que os auditores recebem são os códigos do contrato. E esses códigos são os mesmos usados em produção, na rede. Além do mais, o código que roda os protocolos sempre é 100% aberto, 24 horas por dia. Não existe nenhum tipo de segredo exatamente pois crypto funciona na base do open code. Toda blockchain é aberta e cada tx é reproduzível do começo ao fim.
Outro detalhe é que um auditor da Certik ou outra empresa de auditoria de códigos pode muito bem encontrar algo e não reportar. Depois de alguns anos ele vai lá e rouba os fundos, como alguem diz que foi ele?
E há incentivo para isso... ganhar, sei lá, $100k ao ano auditando e reportando por bug bounties ou fazer o exploit você mesmo e levar milhões para casa (ainda que sujos, e de dificil uso)? Certamente deve ter algo por aí que já aconteceu desse jeito.
E há incentivo para isso... ganhar, sei lá, $100k ao ano auditando e reportando por bug bounties ou fazer o exploit você mesmo e levar milhões para casa (ainda que sujos, e de dificil uso)? Certamente deve ter algo por aí que já aconteceu desse jeito.
Auditoria a códigos não é algo novo. Por isso, acredito que exista um conjunto de orientações que permitem evitar isso.
Com base em algumas coisas que eu li, a empresa auditora não tem acesso ao código em contexto de produção, apenas em contexto final - aquele que fica disponível ao publico. A diferença é que ela tem acesso ao software primeiro, para poder trabalhar com ele e verificar se tudo funciona ou se existe algum bug.
Por isso, a partida eles não tem muito mais detalhes do que o publico em geral tem. Apenas tem é o conhecimento técnico para analisar profundamente o produto final.
Agora, existe sempre a possibilidade de não divulgar algum bug que encontram. Mas, isso já será difícil de controlar.
Outro detalhe é que um auditor da Certik ou outra empresa de auditoria de códigos pode muito bem encontrar algo e não reportar. Depois de alguns anos ele vai lá e rouba os fundos, como alguem diz que foi ele?
E há incentivo para isso... ganhar, sei lá, $100k ao ano auditando e reportando por bug bounties ou fazer o exploit você mesmo e levar milhões para casa (ainda que sujos, e de dificil uso)? Certamente deve ter algo por aí que já aconteceu desse jeito.
E há incentivo para isso... ganhar, sei lá, $100k ao ano auditando e reportando por bug bounties ou fazer o exploit você mesmo e levar milhões para casa (ainda que sujos, e de dificil uso)? Certamente deve ter algo por aí que já aconteceu desse jeito.
Mas existem diversos tipos de testes e alguns testes de invasão e etc as empresas acabam por passar informações para os auditores, que podem incluir informações não tão disponíveis. E acho que existe um segundo elemento que é a ''quantidade''de certificações. Acho que os hackers podem ficar muito tempo buscando um alvo e no caso dessas certificadoras, elas meio que acabam tendo o histórico de bugs de todas as empresas. Por exemplo no caso da Kraken, são 10 anos trabalhando juntas, acho que a Certik acaba por saber muitas coisas. Mais do que os hackers do outro lado.
Sim, isso também é verdade. Essas empresas recebem informação mais detalhado dos serviços, para fazerem e explorarem potenciais falhas.
E nesse sentido, provavelmente a Certik terá informações sobre o código fonte da Kraken que mais ninguém sabe.
Isso levanta outra questão: até que ponto as empresas acabam por ficar "reféns" das empresas certificadores?
Teoricamente eles só fazem de forma "legal" ou "autorizada", aquilo que milhares de hackers da DarkWeb fazem diariamente. A diferença é que a Certik, informa as empresas para que os problemas sejam resolvidos - ganhado dinheiro com isso. O hackers ganham dinheiro por explorar o bug até ele ser descoberto e corrigido por alguém.
Por isso, as informações que eles tem, acabariam por só os prejudicar a eles e não ao mercado em si. Alem de que se o mercado sair prejudicado, eles não ganham nada com isso.
Olha este caso, se a Kraken conseguir provar que eles abusaram da informação que tinham, nenhuma empresa irá voltar a querer trabalhar com eles.
Mas existem diversos tipos de testes e alguns testes de invasão e etc as empresas acabam por passar informações para os auditores, que podem incluir informações não tão disponíveis. E acho que existe um segundo elemento que é a ''quantidade''de certificações. Acho que os hackers podem ficar muito tempo buscando um alvo e no caso dessas certificadoras, elas meio que acabam tendo o histórico de bugs de todas as empresas. Por exemplo no caso da Kraken, são 10 anos trabalhando juntas, acho que a Certik acaba por saber muitas coisas. Mais do que os hackers do outro lado.
Uma vez um chefe meu me falou de um esquema semelhante com as "big four" de auditoria fiscal/contábil...
Não creio que ainda rola esse esquema hoje dia, mas que alguns anos atrás era comum empresas pagarem mais do que o usual para elas (que já são caras pra cacete) só para conseguirem uma auditoria meia-boca e conseguirem um papelzinho carimbado para apresentar aos acionistas e também conseguir arrecadar mais investimentos e empréstimos.
Falo em "talvés", porque depois de alguns escândalos à exemplo desse da Amercianas, acho que essas empresas de auditoria mais renomadas devem estar se cuidando melhor para não perder sua credibilidade. Mas, isso não é algo novo, pois auditoria séria qualquer pessoa bem intencionada e com estudo pode fazer, mas seu carimbo nunca vai valer tanto do que outra "renomada" mas com seus podres escondidos.
Em todos os ambientes acaba por sempre ter esse tipo de história, né? Imaginando o tamanho dessas instituições, sem dúvida devem ter casos do tipo. Mas não faz sentido pra mim que seja uma prática ''amplamente''usada, por causa do custo da reputação deles e de todo o histórico de trabalho que eles tem feito. E claro que casos como os da Americanas realmente deve fazer com que eles revisem seus processos
há um tempo. Lembro da época inicial do DeFi onde todo dia tinha um hack novo com um projeto auditado por eles... fizeram muito dinheiro só nessa de auditar as coisas de forma superficial e todo mundo aceitou pois o importante era o adesivo no site de "auditado". Além claro, das várias auditorias em projetos completamente Ctrl C + Ctrl V. Trabalho fácil e dinheiro de graça. 
Uma vez um chefe meu me falou de um esquema semelhante com as "big four" de auditoria fiscal/contábil...
Não creio que ainda rola esse esquema hoje dia, mas que alguns anos atrás era comum empresas pagarem mais do que o usual para elas (que já são caras pra cacete) só para conseguirem uma auditoria meia-boca e conseguirem um papelzinho carimbado para apresentar aos acionistas e também conseguir arrecadar mais investimentos e empréstimos.
Falo em "talvés", porque depois de alguns escândalos à exemplo desse da Amercianas, acho que essas empresas de auditoria mais renomadas devem estar se cuidando melhor para não perder sua credibilidade. Mas, isso não é algo novo, pois auditoria séria qualquer pessoa bem intencionada e com estudo pode fazer, mas seu carimbo nunca vai valer tanto do que outra "renomada" mas com seus podres escondidos.
Mas durante essa treta, eu fiquei pensando algumas vezes, a quantidade de ''segredos'' que os caras da Certik devem saber e acho que teoricamente o pessoal vai resolvendo os bugs, mas acho que eles tem conhecimento pra ferrar bem o mercado. Claro que teoricamente eles não tem interesse nisso, mas é um problema certamente se alguém de altos levels ficar puto com algo
Teoricamente eles só fazem de forma "legal" ou "autorizada", aquilo que milhares de hackers da DarkWeb fazem diariamente. A diferença é que a Certik, informa as empresas para que os problemas sejam resolvidos - ganhado dinheiro com isso. O hackers ganham dinheiro por explorar o bug até ele ser descoberto e corrigido por alguém.
Por isso, as informações que eles tem, acabariam por só os prejudicar a eles e não ao mercado em si. Alem de que se o mercado sair prejudicado, eles não ganham nada com isso.
Olha este caso, se a Kraken conseguir provar que eles abusaram da informação que tinham, nenhuma empresa irá voltar a querer trabalhar com eles.
Na verdade esse é o chefe de segurança da Kraken.
ops! Tu ta certo!
Te falar que essa Certik já é meio estranha há um tempo. Lembro da época inicial do DeFi onde todo dia tinha um hack novo com um projeto auditado por eles... fizeram muito dinheiro só nessa de auditar as coisas de forma superficial e todo mundo aceitou pois o importante era o adesivo no site de "auditado". Além claro, das várias auditorias em projetos completamente Ctrl C + Ctrl V. Trabalho fácil e dinheiro de graça.
Mas a crítica acho que vale de três lados.
Tanto a crítica em relaçào ao trabalho dele. Mas também a crítica em relação aos próprios desenvolvedores de projeto. Eu já vi na prática, CEOs com bastante dinheiro que realmente só dizem '' vamos contratar duas auditoriais'' e é isso. Se tem o ok, pra eles está 100% resolvido. E ao mesmo tempo também tem a delegação por parte do próprio usuários, que ao ver o adesivo se sente confortável e não busca mais nada.
Mas durante essa treta, eu fiquei pensando algumas vezes, a quantidade de ''segredos'' que os caras da Certik devem saber e acho que teoricamente o pessoal vai resolvendo os bugs, mas acho que eles tem conhecimento pra ferrar bem o mercado. Claro que teoricamente eles não tem interesse nisso, mas é um problema certamente se alguém de altos levels ficar puto com algo
Jump to: