Prolomení: 3 miliony dolarů od společnosti CertiK Kraken: Hacker použil stejnou chybu k zneužití jiných burz před týdnem

• Sága o hackerství s bílým kloboukem CertiK přináší nový obrat.

• Onchain záznamy ukazují, že dříve se někdo pokusil zneužít stejnou chybu, kterou auditor objevil v Krakenu.

Chyba, o které #Kraken říkala, že je opravena, byla podle několika odborníků na krypto bezpečnost použita k využívání jiných centralizovaných burz již minulý měsíc.

To je nejnovější vývoj ságy dvou hlavních hráčů v oblasti kryptoměn, americké burzy Kraken a auditora #CertiK .

Ve středu Kraken uvedl, že opravil „kritickou“ chybu, která umožnila chybné stažení milionů dolarů v kryptoměnách z burzy se sídlem v USA.

CertiK se dostal pod palbu poté, co přiznal, že stojí za zneužitím této chyby. Firma stáhla 3 miliony dolarů z Kraken během několika dní na začátku června.

Po veřejném couvání a zpět CertiK vrátil všechny finanční prostředky, které přijal, a nazval své akce bílým kloboukem, což znamená, že se zdánlivě chovali jako etičtí hackeři s úmyslem identifikovat a opravit slabá místa zabezpečení, spíše než je zneužít ke škodlivým účelům.

Záznamy Onchain, které poprvé identifikovala bezpečnostní platforma Hexagate a které pro DL News potvrdilo několik dalších bezpečnostních výzkumníků, ukazují, že se hacker pokusil zneužít jiné kryptoburzy  – pomocí stejné chyby již 17. května.

Tyto pokusy přišly tři týdny předtím, než CertiK 5. června uvedl, že našel chybu na Krakenu.

"Nemáme žádné důkazy, že tyto výměny byly ovlivněny," napsal Hexagate na X. "Vysledovali jsme pouze onchain důkazy pro podobnou aktivitu."

Centralizované kryptoburzy drží obrovské množství kryptoměn jménem svých zákazníků. Pět největších krypto burz, které zveřejnily své peněženkové adresy, drží kryptoměny v celkové hodnotě 172 miliard USD na data DefiLlama.

CertiK neodpověděl okamžitě na žádost DL News o komentář.

Pokus o exploity

Záznamy zvýrazněné Hexagate ukazují, že se hacker pokusil použít takzvaný „revert“ útok, aby přiměl centralizované burzy, aby jim umožnily vybrat prostředky.

Za tímto účelem vytvořil hacker inteligentní smlouvu, která obsahuje transakci k uložení prostředků na centralizovanou burzu. Smlouva je navržena tak, aby hlavní transakce byla úspěšná, ale vklad se vrátil.

To přiměje burzu, aby si myslela, že uživatel vložil prostředky, když to neudělal. Hacker poté požádá o výběr z burzy a odečte částku falešného vkladu.

Záznamy nchain ukazují několik pokusů o použití takové smlouvy, když k uložení prostředků na Binance došlo 17. května na BNB Chain.

Mezi 29. květnem a 5. červnem provedla stejná adresa, stejně jako další, která byla z ní financována, podobné pokusy na OKX, BingX a Gate.io na BNB Chain, Arbitrum a Optimism.

Je zapojen CertiK?

Ačkoli CertiK nejprve veřejně zveřejnil útok na vrácení, neexistuje žádný důkaz, že byl zapojen do těchto dřívějších útoků.

Každá funkce inteligentních smluv má takzvaný hash podpisu, podle kterého je lze identifikovat.

V případě smlouvy o zpětném útoku není hash podpisu k dispozici, což znamená, že název funkce není veřejně známý, řekl DL News bezpečnostní výzkumník, který si přál zůstat v anonymitě.

To znamená, že název funkce pro revertovaný útok je znám na CertiK nebo někdo jiný použil přesně stejný název, řekl výzkumník.