Normalmente esses programas de recompensas de erros, tem uns prazos, que permitem que a empresa afetada analise, verifique e corrija a situação. Só depois é que se recebe a recompensa.
Esse prazo foi comprido? Ou seja, a Kraken ainda estava a verificar a situação, demorou muito tempo e a Certik fez a denuncia? Ou a Certik, aproveitou para explorar o erro, enquanto a Kraken esta a verificar a situação?
Certamente existem provas de tudo o que aconteceu, e se a situação escalar, iremos descobrir.
Topic: Kraken vs Certik - page 2. (Read 310 times)
Primeiro de tudo é que eles reportaram errado esse bug. Se encontraram e validaram que ocorria em produção, não faz sentido sacar e dizer que provou. Descobriu, documenta tudo e repassa para os cara da Exchange analisar e corrigir depois eles receberiam.
Como esse processo não foi seguido, dá a entender que eles não tem um padrão e provavelmente tem terceiros agindo de má fé em nome deles.
Como esse processo não foi seguido, dá a entender que eles não tem um padrão e provavelmente tem terceiros agindo de má fé em nome deles.
Tu chegou a ler os tweet do chefe de segurança de Certik?
Nesse por exemplo: https://x.com/c7five/status/1803403622853779962
Ele explica como é o ''processo''
''Temos um programa Bug Bounty em vigor no Kraken há quase dez anos. Este programa é executado internamente e conta com a equipe de algumas das mentes mais brilhantes da comunidade. Nosso programa, como muitos outros, tem regras de trânsito claras…
1. Não explore mais do que o necessário para provar a vulnerabilidade.
2. Mostre seu trabalho (ou seja, forneça uma prova de conceito)
3. O que você extrai você devolve imediatamente ''
Então o saque faz parte sim do processo. Mas pelo que eu percebi por um dos primeiros tweets e por alguns outros, uma dessas ''mentes brilhantes'' que trabalha com eles que encontrou o erro. Eu acho que essa primeira pessoa foi la e explorou a vulnerabilidade, avisou eles, eles também foram ver se funciona mesma e fizeram o teste do saque. E ai essa primeira pessoa talvez não quis devolver.
Só pelo ponto 1 já conseguimos ver que foi um erro. Eles já haviam provado que o erro existia na criação de moedas se o saque existe ou não eles deveriam deixar para eles descobrirem. Ou então, OK, você irá sacar. Saque a quantidade de moeda gerada, sei lá 1 BTC ou algo nesse sentido. Não milhões
E também a credibilidade né!
Pra mim, alguém deu uma de amador dentro da Certik.
Pela reputação dos caras, duvido que trabalhem com terceiros, afinal não existe contrato que possa compensar o risco de sujar o nome da empresa, principalmente se o montante envolvido for "relevante".
Mas, o que importa mesmo é que eles ainda possuem competência para descobrir grandes furos em corretoras importantes, então não devem sumir do mercado tão cedo.
Te falar que essa Certik já é meio estranha há um tempo. Lembro da época inicial do DeFi onde todo dia tinha um hack novo com um projeto auditado por eles... fizeram muito dinheiro só nessa de auditar as coisas de forma superficial e todo mundo aceitou pois o importante era o adesivo no site de "auditado". Além claro, das várias auditorias em projetos completamente Ctrl C + Ctrl V. Trabalho fácil e dinheiro de graça. Pra mim, alguém deu uma de amador dentro da Certik.
Pela reputação dos caras, duvido que trabalhem com terceiros, afinal não existe contrato que possa compensar o risco de sujar o nome da empresa, principalmente se o montante envolvido for "relevante".
Mas, o que importa mesmo é que eles ainda possuem competência para descobrir grandes furos em corretoras importantes, então não devem sumir do mercado tão cedo.
Para mim eles quiseram uma recompensa maior do que o acertado nas regras do bug bounty (afinal, era um erro imenso que talvez pudesse limpar a hot wallet), por isso meio que deram um ar de blackmailing. Pecaram bastante. E provavelmente perdeu o bounty...
E também a credibilidade né!
Pra mim, alguém deu uma de amador dentro da Certik.
Pela reputação dos caras, duvido que trabalhem com terceiros, afinal não existe contrato que possa compensar o risco de sujar o nome da empresa, principalmente se o montante envolvido for "relevante".
Mas, o que importa mesmo é que eles ainda possuem competência para descobrir grandes furos em corretoras importantes, então não devem sumir do mercado tão cedo.
Enfim, não dá pra dizer que a situação terminou da "melhor forma", mas certamente dá pra se afirmar que com essa devolução as consequencias foram bem "minimizadas".
Tu chegou a ler os tweet do chefe de segurança de Certik?
Na verdade esse é o chefe de segurança da Kraken.Então o saque faz parte sim do processo. Mas pelo que eu percebi por um dos primeiros tweets e por alguns outros, uma dessas ''mentes brilhantes'' que trabalha com eles que encontrou o erro. Eu acho que essa primeira pessoa foi la e explorou a vulnerabilidade, avisou eles, eles também foram ver se funciona mesma e fizeram o teste do saque. E ai essa primeira pessoa talvez não quis devolver.
No processo há a etapa de realizar o saque sim, mas nesse mesmo thread ele fala que sacar $4, valor que eles testaram antes, já seria suficiente para provar o bug e receber a recompensa. Certamente não precisavam ter sacado $3 MILHÕES. 
A Certik como não é boba, devolveu o valor: https://x.com/c7five/status/1803773589226995826
Para mim eles quiseram uma recompensa maior do que o acertado nas regras do bug bounty (afinal, era um erro imenso que talvez pudesse limpar a hot wallet), por isso meio que deram um ar de blackmailing. Pecaram bastante. E provavelmente perdeu o bounty...
Primeiro de tudo é que eles reportaram errado esse bug. Se encontraram e validaram que ocorria em produção, não faz sentido sacar e dizer que provou. Descobriu, documenta tudo e repassa para os cara da Exchange analisar e corrigir depois eles receberiam.
Como esse processo não foi seguido, dá a entender que eles não tem um padrão e provavelmente tem terceiros agindo de má fé em nome deles.
Como esse processo não foi seguido, dá a entender que eles não tem um padrão e provavelmente tem terceiros agindo de má fé em nome deles.
Tu chegou a ler os tweet do chefe de segurança de Certik?
Nesse por exemplo: https://x.com/c7five/status/1803403622853779962
Ele explica como é o ''processo''
''Temos um programa Bug Bounty em vigor no Kraken há quase dez anos. Este programa é executado internamente e conta com a equipe de algumas das mentes mais brilhantes da comunidade. Nosso programa, como muitos outros, tem regras de trânsito claras…
1. Não explore mais do que o necessário para provar a vulnerabilidade.
2. Mostre seu trabalho (ou seja, forneça uma prova de conceito)
3. O que você extrai você devolve imediatamente ''
Então o saque faz parte sim do processo. Mas pelo que eu percebi por um dos primeiros tweets e por alguns outros, uma dessas ''mentes brilhantes'' que trabalha com eles que encontrou o erro. Eu acho que essa primeira pessoa foi la e explorou a vulnerabilidade, avisou eles, eles também foram ver se funciona mesma e fizeram o teste do saque. E ai essa primeira pessoa talvez não quis devolver.
Primeiro de tudo é que eles reportaram errado esse bug. Se encontraram e validaram que ocorria em produção, não faz sentido sacar e dizer que provou. Descobriu, documenta tudo e repassa para os cara da Exchange analisar e corrigir depois eles receberiam.
Como esse processo não foi seguido, dá a entender que eles não tem um padrão e provavelmente tem terceiros agindo de má fé em nome deles.
Como esse processo não foi seguido, dá a entender que eles não tem um padrão e provavelmente tem terceiros agindo de má fé em nome deles.
Rolou uma polêmica curiosa entre uma das maiores exchanges do mundo e a maior auditora de cibersegurança do mundo cripto, a Certik.
Basicamente, a Certik descobriu um bug na Kraken que permitia a criação artificial de criptomoedas e depois tu poderia sacar. Ai o que eles fizeram? Sacaram o equivalente a $3M segundo eles '' pra provar que tinham descoberto o bug''. Mas ao que tudo indica, a Kraken não quis ''pagar'' a resposta pelo achado e a Certik resolveu passar os fundos por um mixer. Ai a Kraken começou a ameaçar eles e eles publicaram tudo nas redes sociais pra esclarecer e disseram que eles estavam pedindo um valor errado e não tinham enviado endereço pra devolver....
O que acham?
Eu acho bem justo que a Certik peça a recompensa dela.
E pelo que eu entendi do twitter do chefe de segurança da Certik, ele ''recebeu um email''' de alguem falando do bug. Não sei se eles trabalham com vários whitehat hackers e ai alguns são ''independentes''. Mas o processo de saque desses $3M foram em tres momentos diferentes. Então talvez até foi alguem independnete que fez um dos saques
Basicamente, a Certik descobriu um bug na Kraken que permitia a criação artificial de criptomoedas e depois tu poderia sacar. Ai o que eles fizeram? Sacaram o equivalente a $3M segundo eles '' pra provar que tinham descoberto o bug''. Mas ao que tudo indica, a Kraken não quis ''pagar'' a resposta pelo achado e a Certik resolveu passar os fundos por um mixer. Ai a Kraken começou a ameaçar eles e eles publicaram tudo nas redes sociais pra esclarecer e disseram que eles estavam pedindo um valor errado e não tinham enviado endereço pra devolver....
O que acham?
Eu acho bem justo que a Certik peça a recompensa dela.
E pelo que eu entendi do twitter do chefe de segurança da Certik, ele ''recebeu um email''' de alguem falando do bug. Não sei se eles trabalham com vários whitehat hackers e ai alguns são ''independentes''. Mas o processo de saque desses $3M foram em tres momentos diferentes. Então talvez até foi alguem independnete que fez um dos saques
Jump to: