Kryptoměnová burza Kraken a blockchainová bezpečnostní firma CertiK se včera večer zapojily do veřejné konfrontace na sociálních sítích kvůli sérii vážných narušení bezpečnosti.

Zpočátku CertiK objevil řadu kritických zranitelností v Krakenu pocházejících z nedávných změn uživatelské zkušenosti (UX) Krakenu, které by účtovaly zákaznickým účtům bezprostředně před vypořádáním jejich aktiv a umožňovaly zákazníkům obchodovat s kryptoměnovými trhy v reálném čase, Kraken ještě plně nefungoval. testoval tento specifický útočný vektor.

Jednoduše řečeno, tato chyba zabezpečení umožňuje útočníkovi se zlými úmysly zahájit operaci vkladu a získat prostředky na svůj účet, aniž by vklad zcela dokončil.

Poté, co Kraken zkontroloval zranitelnost, byla okamžitě vyhodnocena jako kritická a o 47 minut později byl problém zmírněn týmem expertů společnosti Kraken. Později hlavní bezpečnostní důstojník společnosti Kraken Nick Percoco uvedl, že problém byl zcela vyřešen a už se nebude opakovat.

Časová osa výskytu, zdroj: CertiK Official X

Stalo se však něco zajímavého Nick Percoco poukázal na to, že CertiK při této „bezpečnostní kontrole“ okradl Krakena o téměř 3 miliony dolarů, zatímco CertiK to rozhodně popřel.

Bílý klobouk nebo vydírání?

Krakenovo posmrtné vyšetřování zjistilo, že tři účty zneužily chybu během několika dní, včetně jednoho účtu propojeného s pracovníky CertiK prostřednictvím KYC, kteří tuto chybu využili ke zvýšení zůstatku na svém účtu o 4 dolary.

Teoreticky stačí vygenerování 4 dolarů k prokázání existence zranitelnosti a zranitelnost je Krakenem vyhodnocena jako „kritická“, což znamená, že dokud se vygenerované 4 dolary vrátí, můžete u Krakena požádat o 1 milion až 1,5 milionu dolarů. odměna.

Odměny z programu odměňování chyb Kraken. Zdroj: Kraken

„Bezpečnostní výzkumník“ se však rozhodl prozradit zranitelnost dvěma dalším jednotlivcům, se kterými pracoval a kteří tuto zranitelnost využili k generování většího množství finančních prostředků a nakonec si ze svých účtů Kraken vybrali téměř 3 miliony dolarů.

Když Kraken požádal CertiK, aby poskytl podrobný popis kampaně, vytvořil proof-of-concept pro on-chain aktivitu a zajistil vrácení finančních prostředků, které vybral, CertiK odmítl a požádal o telefonát se svým týmem BD. Zároveň CertiK také uvedl, že nebude souhlasit s vrácením jakýchkoliv prostředků, dokud Kraken neposkytne hypotetickou výši možných ztrát.

V tuto chvíli hlavní bezpečnostní důstojník společnosti Kraken Nick Percoco na tweetu označil činy CertiK za vydírání a považoval ztrátu 3 milionů dolarů za „trestní případ“ a v současné době koordinuje s orgány činnými v trestním řízení vymáhání finančních prostředků.

CertiK později obhajoval své kroky na X .

Testování Krakena CertiKem se zaměřilo na tři otázky: Mohou zlomyslní herci předstírat transakce vkládat na účty Kraken? Mohou zlomyslní aktéři vybrat padělané finanční prostředky? Jaké kontroly rizik a ochrana aktiv mohou být spuštěny velkými požadavky na výběr? CertiK se domnívá, že burza Kraken selhala ve všech těchto testech, což naznačuje, že systém hloubkové obrany Kraken byl ohrožen na více frontách.

CertiK uvedl, že kvůli zranitelnosti, která umožňovala vložit miliony dolarů na jakýkoli účet Kraken, Kraken během vícedenního testovacího období nespustil žádná upozornění a až když CertiK oficiálně nahlásil incident, zareagoval a uzamkl testovací účet.

Pokud jde o ztrátu Krakenu ve výši 3 milionů dolarů, CertiK tvrdí, že Kraken ohrožoval zaměstnance společnosti a že celková částka finančních prostředků, kterou Kraken požadoval vrátit, „neodpovídá“ kryptoměně, kterou ukradl. CertiK zároveň zveřejnil všechny depozitní adresy a uvedl, že stávající prostředky převede na účty, ke kterým má Kraken na základě záznamů přístup.

Komunitní drby jsou ještě vzrušující

Tato bezpečnostní společnost, která byla kritizována, měla opět potíže a šifrovací komunita toho rychle využila.

Meir Dolev, zakladatel Cyvers.AI, řekl: „Podle analýzy on-chain, 26 dní před vypuknutím incidentu s Krakenem, došlo na Coinbase k podobné aktivitě stažení se stejným signaturním hashem, navíc před 14 dny byla také podobná aktivita stažení v síti Polygon. Došlo k převodu pomocí stejného hash podpisu.

Certik dříve tvrdil, že objevil a zneužil zranitelnost Kraken 5. června, ale zdá se, že důkazy v řetězci naznačují, že si mohl být vědom zranitelnosti a provedl podobné akce několikrát. Zasvěcenci z oboru se ptají, zda je časový plán oznámený společností Certik pravdivý a zda již využil zranitelnosti k převodu finančních prostředků po dlouhou dobu. Objev nepochybně zvýšil otázky o Čertíkově integritě.

Nejen, že jako bezpečnostní společnost je bezpečnost CertiK také zpochybňována.

Adam Cochran ze Synthetix řekl: "CertiK je naprostý zločinec, jehož chování se zcela odchýlilo od profesionální etiky bezpečnostní společnosti. Vzhledem k tomu, že projekty, které CertiK auditoval, byly opakovaně napadeny, jak může společnost dnes ještě existovat?"

V následujících hodinách Synthetix znovu vznesl vážné otázky o profesionalitě a důvěryhodnosti CertiK. "Bezpečnostní auditoři CertiK využili své pozice k převodu a prodeji aktiv prostřednictvím sankcí Tornado Cash a dalších kanálů. Vzorec chování je podobný jako u hackerské skupiny Lazarus."

Bylo odhaleno, že bezpečnostní auditoři CertiK nejen přesouvali aktiva prostřednictvím Tornado Cash, ale také vyhodili aktiva prostřednictvím ChangeNOW, což je přesně stejná běžná praxe poté, co hackerská skupina Lazarus kompromitovala šifrovací protokol. Někteří analytici uvedli, že Lazarus napadl více auditních protokolů Certik než jakýkoli jiný protokol, což vyvolalo otázky, zda již Certik nebyl proniknut hackery.

I když není jasné, zda je do toho zapojena celá společnost CertiK, vyvolává to otázky, zda nebyl tým bezpečnostního výzkumu Certiku „kompromitován“.

Relevantní lidé poukázali na to, že vzhledem k tomu, že severokorejská hackerská organizace požádala agenty, aby používali protokoly DeFi k hledání zaměstnání, „domlouvali se“ také s auditory CertiK Jinak je těžké vysvětlit, proč americká společnost s mnoha známými investory? by vydíral transakce a porušil americké sankce na dohody o praní špinavých peněz.

Chen Jian z Puffer Finance řekl: "Bývalý zaměstnanec odhalil, že vrcholové vedení CertiK věnovalo příliš velkou pozornost ziskům a mělo odchylky v hodnotách. Společnost jednou vydala tokeny a poté je opustila, což způsobilo investorům ztráty. Doporučuje se, aby strany projektu pečlivě vybírejte CertiK pro bezpečnostní audity.“ Chen Jian věří, že CertiK se v podstatě stal „razicí společností zabalenou do haló a účtuje si drahé poplatky“. Projekty, které auditoval, opakovaně zaznamenaly bezpečnostní problémy.

Navíc bylo odhaleno, že "někteří interní auditoři CertiK unikli důvěrné firemní informace a podrobnosti o auditu."

Co se týče prohřešků CertiK, mnoho zasvěcenců kritizovalo CertiK jako "nechutný", "nemorální", "nezodpovědný", "klamný" a "bezcenný". Velký počet členů šifrovací komunity se připojil k tomuto slovnímu útoku na CertiK. Mezi nimi bývalý zaměstnanec OKX Zi Ye řekl: "Někdo kopl do železné desky."

DegenBing.eth |. Buji DAO otevřeně řekl, že lidé, kteří chválí CertiK, jsou buď hloupí, nebo špatní, "Všichni, pospěšte si a připravte popcorn, pokračování by mělo být vzrušující." Uživatel komunity @tayvano_ také vyjádřil posměch CertiKovi: "Neexistuje absolutně žádná omluva pro chování CertiK a nemůže být vůbec považováno za legitimní test bílého klobouku" a vyzval CertiK, aby "vypadl."

CrertiK, zbývá jen "pomlouvat svět"?

Z reakce komunity je vidět, že CertiK, hlavní hrdina tohoto incidentu, není poprvé, co je zapojen do kontroverze. CertiK se narodil v roce 2017 a byl kdysi hvězdným projektem na poli zabezpečení Web3. Jejími zakladateli jsou Shao Zhong, předseda katedry informatiky na Yaleově univerzitě a dočasný profesor, a Gu Ronghui, profesor katedry informatiky na Kolumbijské univerzitě, oba jsou špičkovými vědci v oblasti bezpečnosti.

V roce 2021 se CertiK začal rychle rozvíjet a za méně než rok získal pět finančních prostředků, včetně těch nejluxusnějších investorů, jako jsou Goldman Sachs, Tiger, SoftBank, Sequoia a Hillhouse, mezi nimiž byly všechny společnosti DeFi auditované v oblasti bezpečnosti projektů, má CertiK podíl na trhu 70 %, čímž daleko převyšuje své obdobné zákazníky, mezi které patří přední projekty jako Aave, Polygon, Yearn Finance a Chiliz.

Ale na druhou stranu CertiK od svého spuštění čelí kontroverzi, že komunita zpochybňuje, že CertiK zabírá většinu trhu v oblasti zabezpečení Web3, ale nemůže zaručit bezpečnost projektů, které zpracovává. Někteří lidé si dokonce stěžovali: „Ne všechny audity CertiK jsou pryč, ale téměř všichni ti, kteří jsou pryč, jsou audity CertiK, a všichni rádi tvrdí, že provedli upgrade, ale skutečné výsledky jsou známy všem, takže „Audit CertiK“ se stal téměř průvodcem ochrany před bleskem .

V dubnu 2023 udělal Geek Park rozhovor s generálním ředitelem CertiK Gu Ronghui, který na tyto kontroverze reagoval větou „známý po celém světě, pomlouvaný po celém světě“. Co se týče častých bezpečnostních problémů, CertiK je považuje za „nevyhnutelné situace“ a reaguje tím, že zveřejňuje zprávy o bezpečnostním auditu a umožňuje komunitě provádět spontánní inspekce Gu Ronghui jednou řekl, že nechce, aby se CertiK stal „kapitolou“ nebo anti-krádeží. "Certifikát".

Krátce poté, co byla zveřejněna zpráva Geek Park s rozhovorem s CertiK, bylo z Merlinu, decentralizované obchodní platformy založené na zkSync, ukradeno přibližně 1,82 milionu USD vývojáři."

O měsíc později projekt DeFi Swaprum utekl týdny poté, co byl auditován společností CertiK, a získal celkem 3 miliony dolarů ze zákaznických prostředků. Komunita ukázala prstem na CertiK s tím, že schválila „další spiknutí“.

Kromě různých nehod komunita zpochybňovala i technické zábrany CertiKu.

CertiK využívá formální ověřování a spolupráci na technologii AI k poskytování komplexních služeb bezpečnostního auditu blockchainu Jednoduše řečeno, využívá kombinaci formálního ověřování a manuálního ověřování k automatické kontrole problémů se zdrojovým kódem pomocí velkých jazykových modelů, provádění simulovaných útoků a následně. Bezpečnostní inženýři poskytnou zpětnou vazbu k nastoleným problémům.

Zakladatel je přesvědčen o svém mechanismu: „I když se naše technologie nevyvíjí, dokud budeme moci vidět více kódu a bude jej komentovat více lidí, náš engine bude stále lepší a lepší vyšší a budeme mít stále více zákazníků, díky čemuž bude motor stále lepší."

Kromě toho, že výsledky auditu nejsou důvěryhodné, do temné historie CertiKu patří také zkušenosti s vydáváním měn CertiK kdysi v roce 2021 spustil řetězec Certik a jeho token ČTK, ale nyní už zavedení jeho tokenu ČTK nelze najít. na oficiálních stránkách Certik.

Rozumí se, že ČTK měla v té době dvě kola soukromého umístění, jedno s kvótou 29 % a cenou 0,77 USD a druhé kolo s kvótou 9 % a cenou 1,9 USD. Poté, co byla ČTK online, začala po krátkém nabíjení klesat V době psaní byla její cena 0,8 dolaru.

Po zapojení do kontroverze „Krakenovo vydírání“, ačkoli Kraken má zranitelná místa, je postoj komunity překvapivě konzistentní a líčili minulé činy CertiK. Od hvězdného projektu na poli zabezpečení Web3 s luxusní finanční sestavou a ohodnocením 2 miliard USD až po zapojení do různých kontroverzí a považování za „label vyhýbající se blesku“, zkušenosti CertiK z posledních let přiměly komunitu povzdechnout si. a také poskytla příležitosti vývojářům projektů, kteří jsou stále na scéně.