Chyba, kterou Kraken uvedl, že ji opravoval, byla podle několika odborníků na krypto bezpečnost použita k využívání jiných centralizovaných burz již minulý měsíc.

To je nejnovější vývoj ságy dvou hlavních krypto hráčů, americké burzy Kraken a auditora CertiK.

Ve středu Kraken uvedl, že opravil „kritickou“ chybu, která umožnila chybné stažení milionů dolarů v kryptoměnách z burzy se sídlem v USA.

CertiK se dostal pod palbu poté, co přiznal, že stojí za zneužitím této chyby. Firma stáhla 3 miliony dolarů z Kraken během několika dní na začátku června.

Po veřejném couvání a zpět CertiK vrátil všechny finanční prostředky, které přijal, a nazval své akce bílým kloboukem, což znamená, že se zdánlivě chovali jako etičtí hackeři s úmyslem identifikovat a opravit slabá místa zabezpečení, spíše než je zneužít ke škodlivým účelům.

Onchain záznamy poprvé identifikované bezpečnostní platformou Hexagate a potvrzené DL News několika dalšími bezpečnostními výzkumníky ukazují, že se hacker pokusil zneužít jiné kryptoburzy – Binance, OKX, BingX a Gate.io – pomocí stejné chyby již 17.

Tyto pokusy přišly tři týdny předtím, než CertiK 5. června uvedl, že našel chybu na Krakenu.

"Nemáme žádné důkazy, že tyto výměny byly ovlivněny," napsal Hexagate na X. "Vysledovali jsme pouze onchain důkazy pro podobnou aktivitu."

Centralizované kryptoburzy drží obrovské množství kryptoměn jménem svých zákazníků. Pět největších krypto burz, které zveřejnily své peněženkové adresy, drží kryptoměny v celkové hodnotě 172 miliard dolarů na data DefiLlama.

CertiK neodpověděl okamžitě na žádost DL News o komentář.

Pokus o exploity

Záznamy zvýrazněné Hexagate ukazují, že se hacker pokusil použít takzvaný „revert“ útok, aby přiměl centralizované burzy, aby jim umožnily vybrat prostředky.

Za tímto účelem vytvořil hacker inteligentní smlouvu, která obsahuje transakci k uložení prostředků na centralizovanou burzu. Smlouva je navržena tak, aby hlavní transakce byla úspěšná, ale vklad se vrátil.

To přiměje burzu, aby si myslela, že uživatel vložil prostředky, když to neudělal. Hacker poté požádá o výběr z burzy a odečte částku falešného vkladu.

Onchain záznamy ukazují vícenásobné pokusy o použití takového kontraktu, když vkládání finančních prostředků na Binance proběhlo na BNB Chain 17. května.

Mezi 29. květnem a 5. červnem provedla stejná adresa, stejně jako další, která byla z ní financována, podobné pokusy na OKX, BingX a Gate.io na BNB Chain, Arbitrum a Optimism.

Je zapojen CertiK?

Ačkoli CertiK nejprve veřejně zveřejnil útok na vrácení, neexistuje žádný důkaz, že byl zapojen do těchto dřívějších útoků.

Každá funkce inteligentních smluv má takzvaný hash podpisu, podle kterého je lze identifikovat.

V případě smlouvy o zpětném útoku není hash podpisu k dispozici, což znamená, že název funkce není veřejně známý, řekl DL News bezpečnostní výzkumník, který si přál zůstat v anonymitě.

To znamená, že název funkce pro revertovaný útok je znám na CertiK nebo někdo jiný použil přesně stejný název, řekl výzkumník.

Tim Craig je korespondentem DeFi v Edinburghu DL News. Obraťte se na něj s tipy na tim@dlnews.com.