Blockchain bezpečnostní firma CertiK potvrdila, že stojí za zneužitím chyby, která vedla k neoprávněnému stažení tokenů v hodnotě 3 milionů dolarů z Krakenu.
Blockchainová bezpečnostní firma CertiK se sídlem v New Yorku přiznala, že stojí za zneužitím chyby, která vedla k neoprávněnému stažení tokenů v hodnotě 3 milionů dolarů z kryptoburzy Kraken.
Ve vlákně X z 19. června CertiK odhalil, že identifikoval řadu „kritických zranitelností“ na burze Kraken, které by „potenciálně mohly vést ke ztrátám ve stovkách milionů dolarů“.
CertiK nedávno identifikoval řadu kritických zranitelností na burze @krakenfx, které by mohly potenciálně vést ke ztrátám ve stovkách milionů dolarů. Počínaje nálezem v depozitním systému @krakenfx, kde nemusí rozlišovat mezi různými interními… pic.twitter.com/ JZkMXj2ZCD
— CertiK (@CertiK) 19. června 2024
Podle CertiK byl problém poprvé identifikován 5. června a Kraken selhal v několika testech, což naznačuje, že systém ochrany do hloubky burzy byl „kompromitován na více frontách“. Firma zejména poznamenala, že se jí podařilo obejít kontroly burzovního rizika stažení, aniž by spustila jakékoli varování.
„Z účtu lze vybrat obrovské množství vyrobených kryptoměn (v hodnotě více než 1 milion + USD) a převést je na platné kryptoměny. Ještě horší je, že během vícedenního testovacího období nebyly spuštěny žádné výstrahy. Kraken zareagoval a zamkl testovací účty až několik dní poté, co jsme incident oficiálně nahlásili.
CertiK
Mohlo by se vám také líbit: Hlavní bezpečnost Kraken odhaluje, že změna uživatelského rozhraní vedla k zneužití chyb ve výši 3 milionů $
Po zjištění nedostatků CertiK tvrdí, že informoval Krakena, jehož bezpečnostní tým označil problém za „kritický“. Poté, co bylo zneužití identifikováno a opraveno, CertiK tvrdí, že tým bezpečnostních operací Kraken „vyhrožoval“ jednotlivým zaměstnancům CertiK a požadoval splacení „neodpovídajícího množství kryptoměn v nepřiměřené době, a to i bez poskytnutí platební adresy“.
CertiK vyzval Krakena, aby „ustal jakékoli hrozby proti hackerům whitehat“, čímž potvrdil svůj závazek vůči komunitě web3 „v duchu transparentnosti“. Incident však vyvolal kontroverzi a skepticismus v blockchainové komunitě, protože výzkumníci blockchainu upozornili na nesrovnalosti v časové ose a tvrzeních CertiK.
HAHAHHA TY ZKRAJENÝ KLAUNE Neexistuje absolutně ŽÁDNÝ vesmír, kde by se jednalo o „bezpečnostní výzkum whitehat“. Kraken je neuvěřitelně trpělivý, když to přímo nenazval tím, čím to velmi jasně je: mnohamilionová krádež se stranou vydírání.
— Tay 💖 (@tayvano_) 19. června 2024
Jak poznamenal technologický ředitel společnosti Cyvers Meir Dolev na svém účtu X, adresa spojená s CertiK zahájila podezřelou aktivitu napříč několika blockchainovými sítěmi týdny před prvním nahlášením incidentu Kraken, což vyvolalo otázky ohledně časové osy poskytnuté společností CertiK.
Po incidentu @krakenfx začala podobná aktivita na základně před 26 dny!! Stejný hash podpisu je použit také na Polygonu před 14 dny. Měli bychom tedy věřit časové ose Cetiku, že našli zranitelnost až 5. června?@tayvano_ pic.twitter.com/cvAnVrTg67
— Meir Dolev (@Meir_Dv) 19. června 2024
V následném příspěvku pod vláknem CertiK ředitel Coinbase Conor Grogan poukázal na to, že adresy spojené s CertiK poslaly část staženého krypta do Tornado Cash, mixážní služby schválené Úřadem pro kontrolu zahraničních aktiv amerického ministerstva financí (OFAC) za usnadnění praní kryptoměn od roku 2019 ve výši přibližně 7 miliard USD.
Zprávy také tvrdí, že adresy spojené s CertiK odeslaly části staženého kryptoměny ChangeNOW, neopatrované krypto burze. V době tisku neučinil CertiK žádné veřejné prohlášení o tom, proč interagoval s Tornado Cash a ChangeNOW, ačkoli tvrdí, že vrátil všechny stažené tokeny Krakenovi.
Přečtěte si více: Telegram vyvrací tvrzení CertiK o bezpečnostním riziku automatického stahování