Хакер, стоящий за прошлогодним взломом протокола Cork на сумму $12 млн, высказался о споре между враждующими аудиторскими фирмами по криптобезопасности.
Он решил высказаться после того, как в среду генеральный директор компании по аудиту безопасности Sherlock Джек Сэнфорд обвинил конкурентов Spearbit и Cantina в том, что они пропустили уязвимость и скрыли свои ошибки.
28 мая поддерживаемый a16z Cork Protocol объявил об «инциденте безопасности, затронувшем рынок wstETH:weETH» и временной приостановке всех рынков. В дальнейшем выяснилось, что «злоумышленник использовал уязвимость контроля доступа в Cork Hook, которую не выявил ни один из наших аудитов».
Однако в посте Сэнфорда перечислены хэши коммитов, представленные в различных отчётах аудиторов, как доказательство того, что предполагаемая уязвимость не подпадает в их зону ответственности.
Руководитель Sherlock обратил внимание на неспособность команды Cantina предоставить такие хэши и тот факт, а в Spearbit до сих пор не опубликовали свой отчёт публично, хотя все сроки уже вышли.
Сам хакер написал, что ошибка присутствовала только в более поздних версиях кода. Он также добавил, что всем компаниям, которые пропустили первоначальную ошибку, не следует доверять.
Этот упрёк адресован в первую очередь компаниям по безопасности блокчейнов, которые «не смогли обнаружить реальную проблему», — Dedaub, Three Sigma, Halborn, Blocksec и многие другие.
В его последнем сообщении досталось и аудиторским фирмам, которые «пишут чушь о багах, чтобы продвигать свои бренды и получать прибыль от усилий других». Наибольшей критике подвергся Невилл Греча из Dedaub, которого обвинили в том, что «продвижение ваших брендов достигается путём анализа багов, которые вы не можете обнаружить самостоятельно».
Заместитель главного редактора Happy Coin News. Образование: экономист. Второе образование маркетинг. В криптоиндустрии с 2014 года. Неоднократно выступал в качестве эксперта на РБК. Биткоин — это не спекуляции, а свобода. Но, свобода требует личной ответственности.
