Стаття: Інцидент з Tornado Cash у CertiK: причини та наслідки

Компанія CertiK звинуватила працівника у спростуваних транзакціях Tornado Cash, пов`язаних з використанням Kraken

Останнім часом CertiK стикнувся з критикою через інцидент із безпекою, пов`язаний з транзакціями Tornado Cash, пов`язаними з виведенням коштів з криптовалютної біржі Kraken. Після докладного аналізу CertiK вважає, що за несанкціоноване використання Tornado Cash під час експлойту в червні відповідальною є діяльність одного працівника. `Ці транзакції не були виконані злоякісно`, - заявив представник CertiK, спробуючи прояснити ситуацію, поки репутація компанії зазнавала критики.

Останній інцидент CertiK, пов`язаний з Tornado Cash, ставить значні питання щодо відповідності та внутрішнього контролю в галузі криптовалютної безпеки. Розуміння інциденту: Що трапилося в CertiK?

• В червні 2023 року CertiK, провідна компанія з криптобезпеки, вивела приблизно 3 мільйони доларів з Kraken після використання вразливості на біржі. Цей інцидент викликав обурення серед різних учасників, в першу чергу через участь Tornado Cash, протоколу децентралізованої фінансової діяльності (DeFi), який потрапив під критику регуляторів через свої зв`язки з відмиванням грошей. CertiK відзначив, що `зрадник` працівник проводив транзакції через Tornado Cash без належного дозволу, намагаючись відвести особисті кошти від громадського контролю.

Децентралізована природа Tornado Cash дозволяє особам приховати свою історію транзакцій, що викликає тривогу в межах регуляторних рамок. Представник CertiK підтвердив, що транзакції мали на меті `протестувати безпеку Kraken`, проте ця мотивація не відповідає найкращим практикам галузі. Регуляторні органи, такі як Управління керівництва фінансовими активами з-за кордону (OFAC), виразно санкціонували Tornado Cash через його зв`язки з незаконною діяльністю, включаючи ті, які можуть бути відсічені до Північної Кореї групи Лазаруса. Ці санкції передбачають покарання, які можуть становити мільйони доларів, зробляючи CertiK, американське підприємство, особливо вразливим до правового контролю.

Серед критики від інцидента CertiK видалила публічні вибачення, які були сприйняті деякими представниками спільноти кібербезпеки як недостатні. Початкова відповідь фірми не вирішила проблеми, пов`язані з дотриманням встановлених регуляторних стандартів. У зв`язку з підвищеною критикою, CertiK заявила про свою готовність покращити внутрішні контролі та підвищити підготовку працівників для запобігання подібних інцидентів у майбутньому. У докладному післяслові CertiK заявила: `Ми щиро вибачаємося за незручність і плутанину, які спричинив Kraken інцидент нашим клієнтам і спільноті`.