Ursprünglicher Autor: BlockBeats
Originalquelle: BlockBeats
Die Kryptowährungsbörse Kraken und das Blockchain-Sicherheitsunternehmen CertiK lieferten sich gestern Abend in den sozialen Medien eine öffentliche Konfrontation wegen einer Reihe schwerwiegender Sicherheitsverstöße.
Zunächst entdeckte CertiK eine Reihe kritischer Schwachstellen in Kraken, die auf kürzliche Änderungen der Benutzererfahrung (UX) bei Kraken zurückzuführen waren und dazu führten, dass Kundenkonten unmittelbar vor der Auszahlung ihrer Vermögenswerte belastet wurden und Kunden den sofortigen Handel mit Kryptowährungsmärkten ermöglichten. Kraken hat diese Schwachstelle noch nicht vollständig getestet Angriffsvektor.
Einfach ausgedrückt ermöglicht diese Schwachstelle einem böswilligen Angreifer, einen Einzahlungsvorgang zu starten und Geld auf sein Konto zu erhalten, ohne die Einzahlung vollständig abzuschließen.
Nachdem Kraken die Schwachstelle untersucht hatte, wurde sie sofort als kritisch eingestuft und das Problem wurde 47 Minuten später vom Kraken-Expertenteam behoben. Später erklärte Nick Percoco, Chief Security Officer von Kraken, dass das Problem vollständig behoben sei und nicht noch einmal auftreten werde.
Zeitleiste des Ereignisses, Quelle: CertiK-Beamter X
Nick Percoco wies jedoch darauf hin, dass CertiK Kraken bei dieser „Sicherheitsüberprüfung“ um fast 3 Millionen US-Dollar geraubt habe, während CertiK dies entschieden bestritt.
White Hat oder Erpressung?
Krakens Obduktion ergab, dass drei Konten den Fehler über mehrere Tage hinweg ausnutzten, darunter ein Konto, das über KYC mit einem CertiK-Mitarbeiter verknüpft war, der den Fehler ausnutzte, um seinen Kontostand um 4 US-Dollar zu erhöhen.
Theoretisch reicht die Generierung von 4 US-Dollar aus, um die Existenz der Schwachstelle zu beweisen, und die Schwachstelle wird von Kraken als „kritisch“ bewertet. Das bedeutet, dass Sie bei Kraken 1 bis 1,5 Millionen US-Dollar beantragen können, solange die generierten 4 US-Dollar zurückgegeben werden. Kopfgeld.
Kopfgelder aus dem Bug-Bounty-Programm von Kraken. Quelle: Kraken
Der „Sicherheitsforscher“ entschied sich jedoch, die Sicherheitslücke zwei anderen Personen, mit denen er zusammenarbeitete, offenzulegen, die die Sicherheitslücke ausnutzten, um größere Geldbeträge zu generieren, und schließlich fast 3 Millionen US-Dollar von ihren Kraken-Konten abzogen.
Als Kraken CertiK aufforderte, eine detaillierte Beschreibung der Kampagne bereitzustellen, einen Proof-of-Concept für On-Chain-Aktivitäten zu erstellen und die Rückgabe der abgehobenen Gelder zu veranlassen, lehnte CertiK ab und bat um einen Anruf bei seinem BD-Team. Gleichzeitig erklärte CertiK auch, dass es einer Rückgabe von Geldern nicht zustimmen werde, bis Kraken einen hypothetischen möglichen Verlustbetrag bereitgestellt habe.
Zu diesem Zeitpunkt bezeichnete Nick Percoco, Chief Security Officer von Kraken, in einem Tweet die Handlungen von CertiK als Erpressung und betrachtete den Verlust von 3 Millionen US-Dollar als „Straffall“ und stimmt sich derzeit mit den Strafverfolgungsbehörden ab, um die Gelder zurückzufordern.
CertiK verteidigte später seine Klagen gegen X.
CertiKs Tests von Kraken konzentrierten sich auf drei Fragen: Kann ein böswilliger Akteur eine Einzahlungstransaktion auf ein Kraken-Konto fälschen? Können böswillige Akteure gefälschte Gelder abheben? Welche Risikokontrollen und Vermögensschutzmaßnahmen können durch große Auszahlungsanträge ausgelöst werden? CertiK geht davon aus, dass die Kraken-Börse alle diese Tests nicht bestanden hat, was darauf hindeutet, dass das Tiefenverteidigungssystem von Kraken an mehreren Fronten kompromittiert wurde.
CertiK sagte, dass Kraken aufgrund der Sicherheitslücke, die es ermöglichte, Millionen von Dollar auf jedes Kraken-Konto einzuzahlen, während des mehrtägigen Testzeitraums keine Warnungen auslöste, bis CertiK den Vorfall offiziell meldete und reagierte und das Testkonto sperrte.
Bezüglich der Verluste von Kraken in Höhe von 3 Millionen US-Dollar behauptete CertiK, dass Kraken Mitarbeiter des Unternehmens bedroht habe und dass der Gesamtbetrag der Gelder, die Kraken zurückzahlen wollte, „nicht mit der von ihm gestohlenen Kryptowährung übereinstimmt“. Gleichzeitig gab CertiK alle Einzahlungsadressen bekannt und erklärte, dass es vorhandene Gelder auf Konten überweisen werde, auf die Kraken anhand der Aufzeichnungen zugreifen könne.
Durchsuchung sozialer Medien
Dieses in die Kritik geratene Sicherheitsunternehmen hatte einen weiteren Vorfall, den die Kryptowährungs-Community schnell ausnutzte.
Meir Dolev, Gründer von Cyvers.AI, sagte: „Laut On-Chain-Analyse gab es 26 Tage vor Ausbruch des Kraken-Vorfalls eine ähnliche Auszahlungsaktivität auf Coinbase mit demselben Signatur-Hash. Darüber hinaus gab es vor 14 Tagen Polygon.“ Netzwerk Es gibt auch unterwegs Übertragungen, die denselben Signatur-Hash verwenden.“
Certik behauptete zuvor, den Kraken-Fehler erst am 5. Juni entdeckt und ausgenutzt zu haben, aber Beweise in der Kette scheinen darauf hinzudeuten, dass das Unternehmen möglicherweise von dem Fehler wusste und ähnliche Aktionen mehrmals durchführte. Brancheninsider fragen sich, ob der von Certik angekündigte Zeitplan wahr ist und ob das Unternehmen bereits Schlupflöcher ausgenutzt hat, um Gelder über einen langen Zeitraum zu transferieren. Die Entdeckung wirft zweifellos Fragen zur Integrität von Certik auf.
Darüber hinaus wurde die Sicherheit von CertiK als Sicherheitsunternehmen in Frage gestellt.
Adam Cochran von Synthetix sagte: „CertiK ist durch und durch ein Krimineller, und sein Verhalten weicht völlig von der Berufsethik eines Sicherheitsunternehmens ab. Angesichts der Tatsache, dass die von CertiK geprüften Projekte wiederholt gehackt wurden, wie kann das Unternehmen heute noch existieren?“
In den folgenden Stunden stellte Synthetix erneut ernsthafte Fragen zur Professionalität und Glaubwürdigkeit von CertiK. „Die Sicherheitsprüfer von CertiK nutzten ihre Position aus, um Vermögenswerte über sanktionierte Kanäle wie Tornado Cash zu transferieren und zu verkaufen. Das Verhaltensmuster ähnelt dem der Hackerorganisation Lazarus.“
Es stellte sich heraus, dass die Sicherheitsprüfer von CertiK nicht nur Vermögenswerte über Tornado Cash transferierten, sondern auch Vermögenswerte über ChangeNOW verkauften, was genau der üblichen Praxis der Lazarus-Hackergruppe nach dem Eindringen in Verschlüsselungsprotokolle entspricht. Einige Analysten sagten, dass Lazarus in mehr Prüfprotokolle von Certik eingedrungen sei als jedes andere Protokoll, was die Frage aufwirft, ob Certik bereits von Hackern gehackt wurde.
Es ist zwar unklar, ob das gesamte Unternehmen CertiK beteiligt ist, es wirft jedoch die Frage auf, ob das Sicherheitsforschungsteam von Certik „kompromittiert“ wurde.
Relevante Personen wiesen darauf hin, dass die nordkoreanische Hackerorganisation angesichts der Tatsache, dass sie Agenten gebeten hat, DeFi-Protokolle zu verwenden, um Jobs zu finden, auch mit den Wirtschaftsprüfern von CertiK „zusammengearbeitet“ hat. Ansonsten ist es schwierig zu erklären, warum ein amerikanisches Unternehmen mit vielen bekannten Investoren zusammenarbeitet würde den Austausch erpressen und gegen US-Sanktionen zu Geldwäscheprotokollen verstoßen.
Chen Jian von Puffer Finance sagte: „Ein ehemaliger Mitarbeiter gab bekannt, dass die Geschäftsleitung von CertiK zu viel Wert auf Gewinne legte und Wertabweichungen aufwies. Das Unternehmen gab einst Token aus und gab diese dann auf, was zu Verlusten bei den Anlegern führte. Es wird empfohlen, dass Projektparteien.“ Wählen Sie CertiK sorgfältig für Sicherheitsüberprüfungen aus.“ Chen Jian glaubt, dass CertiK im Grunde genommen zu einem „Stempelunternehmen geworden ist, das in einen Heiligenschein gehüllt ist und teure Gebühren erhebt“, und dass bei den von ihm geprüften Projekten wiederholt Sicherheitsprobleme aufgetreten sind.
Darüber hinaus wurde bekannt, dass „einige interne Prüfer von CertiK vertrauliche Unternehmensinformationen und Prüfungsdetails preisgegeben haben“.
In Bezug auf die Missetaten von CertiK haben viele Brancheninsider CertiK als „ekelhaft“, „unmoralisch“, „unverantwortlich“, „wahnhaft“ und „wertlos“ kritisiert. Eine große Anzahl von Mitgliedern der Verschlüsselungsgemeinschaft beteiligten sich an diesem verbalen Angriff auf CertiK. Unter ihnen sagte der ehemalige OKX-Mitarbeiter Zi Ye: „Jemand hat gegen die Eisenplatte getreten.“
DegenBing.eth |. Buji DAO sagte unverblümt, dass Leute, die CertiK loben, entweder dumm oder schlecht sind: „Beeilt euch alle und bereitet das Popcorn vor, das Follow-up sollte aufregend sein.“ Community-Benutzer @tayvano_ verspottete CertiK ebenfalls: „Es gibt absolut keine Entschuldigung für das Verhalten von CertiK und es kann überhaupt nicht als legitimer White-Hat-Test angesehen werden“ und forderte CertiK auf, „rauszukommen“.
CrertiK, bleibt nur noch „die Welt verleumden“?
Aus der Reaktion der Community geht hervor, dass CertiK, der Protagonist dieses Vorfalls, nicht das erste Mal in eine Kontroverse verwickelt ist. CertiK wurde 2017 geboren und war einst ein Starprojekt im Bereich Web3-Sicherheit. Seine Gründer sind Shao Zhong, Vorsitzender des Fachbereichs Informatik an der Yale University und ordentlicher Professor, und Gu Ronghui, Professor des Fachbereichs Informatik an der Columbia University, beide Spitzenwissenschaftler auf dem Gebiet der Sicherheit.
Im Jahr 2021 begann sich CertiK rasant zu entwickeln und erhielt in weniger als einem Jahr fünf Finanzierungen, darunter die luxuriösesten Investoren wie Goldman Sachs, Tiger, SoftBank, Sequoia und Hillhouse. In diesem Jahr waren allesamt sicherheitsgeprüfte DeFi-Unternehmen in CoinMarketCa unter den Projekten CertiK hat einen Marktanteil von 70 % und übertrifft damit seine Mitbewerber bei weitem. Zu seinen Kooperationskunden zählen führende Projekte wie Aave, Polygon, Yearn Finance und Chiliz.
Andererseits war CertiK seit seiner Einführung mit Kontroversen konfrontiert. Die Community hat immer bezweifelt, dass CertiK zwar den größten Teil des Marktes im Web3-Sicherheitsbereich einnimmt, die Sicherheit der von ihm betreuten Projekte jedoch nicht garantieren kann. Einige Leute beschwerten sich sogar: „Nicht alle CertiK-Audits sind weg, aber fast alle, die weg sind, sind CertiK-Audits, und alle behaupten gerne, sie hätten ein Upgrade durchgeführt, aber die tatsächlichen Ergebnisse sind jedem bekannt, sodass „CertiK Audit“ ist fast zu einem Blitzschutzratgeber geworden.
Im April 2023 interviewte Geek Park CertiK-CEO Gu Ronghui, der auf diese Kontroversen mit dem Satz „Berühmt auf der ganzen Welt, verleumdet auf der ganzen Welt“ reagierte. Was häufige Sicherheitsprobleme angeht, betrachtet CertiK diese als „unvermeidbare Situationen“ und reagiert, indem es Sicherheitsauditberichte veröffentlicht und der Community erlaubt, freiwillige Inspektionen durchzuführen. Gu Ronghui sagte einmal, er wolle nicht, dass CertiK zu einem „Chapter“ oder einer Anti-Diebstahl-Organisation werde "Zertifikat".
Kurz nachdem der Bericht von Geek Park mit CertiK veröffentlicht wurde, wurden etwa 1,82 Millionen US-Dollar von Merlin, einer dezentralen Handelsplattform auf Basis von zkSync, gestohlen. Zuvor hatte Merlin gerade die Prüfung von CertiK bestanden Entwickler.“
Einen Monat später scheiterte das DeFi-Projekt Swaprum wenige Wochen nach der Prüfung durch CertiK und nahm insgesamt 3 Millionen US-Dollar an Kundengeldern in Anspruch. Die Community zeigte mit dem Finger auf CertiK und sagte, es sanktionierte „eine weitere Verschwörung“.
Neben diversen Unfällen hat die Community auch die technischen Hindernisse von CertiK in Frage gestellt.
CertiK nutzt formale Verifizierung und KI-Technologie, um durchgängige Blockchain-Sicherheitsprüfungsdienste bereitzustellen. Vereinfacht gesagt verwendet es eine Kombination aus formaler Verifizierung und manueller Verifizierung, um Quellcodeprobleme automatisch zu überprüfen und simulierte Angriffe mithilfe großer Sprachmodelle durchzuführen Der Sicherheitsingenieur wird dann Feedback zu den angesprochenen Problemen geben.
Der Gründer ist voller Vertrauen in seinen Mechanismus: „Selbst wenn sich unsere Technologie nicht weiterentwickelt, wird unsere Engine immer leistungsfähiger, solange wir mehr Code sehen und mehr Leute ihn markieren.“
Abgesehen von der Tatsache, dass die Prüfungsergebnisse nicht vertrauenswürdig sind, umfasst die dunkle Geschichte von CertiK auch seine Erfahrungen mit der Ausgabe von Währungen. CertiK hat einst im Jahr 2021 die Certik-Kette und seinen Token CTK eingeführt, aber jetzt ist die Einführung seines Token CTK nicht mehr zu finden die offizielle Website von Certik.
Es wird davon ausgegangen, dass CTK zu diesem Zeitpunkt zwei Privatplatzierungsrunden hatte, eine mit einer Quote von 29 % und einem Preis von 0,77 US-Dollar und eine zweite Runde mit einer Quote von 9 % und einem Preis von 1,9 US-Dollar. Nachdem CTK online ging, begann nach einer kurzen Aufladung ein Abwärtstrend. Zum Zeitpunkt des Schreibens lag der Preis bei 0,8 USD.
Nachdem Kraken in die Kontroverse um die „Kraken-Erpressung“ verwickelt war, ist die Haltung der Community überraschend konsistent, obwohl Kraken Schwachstellen aufweist, und sie haben über die vergangenen Taten von CertiK berichtet. Von einem Starprojekt im Web3-Sicherheitsbereich mit einer luxuriösen Finanzierungspalette und einer Bewertung von 2 Milliarden US-Dollar bis hin zur Verwicklung in verschiedene Kontroversen und dem Ruf als „Blitzvermeidungslabel“ haben die Erfahrungen von CertiK in den letzten Jahren die Community zum Seufzen gebracht und hat auch dazu geführt, dass die Projektentwickler, die noch vor Ort sind, eine Warnung erhalten.
(Der obige Inhalt ist Auszug und Nachdruck mit Genehmigung unseres Partners PANews, Originaltextlink | Quelle: BlockBeats)
Erklärung: Der Artikel gibt nur die persönlichen Ansichten und Meinungen des Autors wieder und gibt nicht die objektiven Ansichten und Positionen der Blockchain wieder. Alle Inhalte und Meinungen dienen nur als Referenz und stellen keine Anlageberatung dar. Anleger sollten ihre eigenen Entscheidungen und Transaktionen treffen, und der Autor und der Blockchain-Kunde haften nicht für direkte oder indirekte Verluste, die durch die Transaktionen der Anleger verursacht werden.
„Wenn Sie eine Schwachstelle finden, „essen Sie sie zuerst und melden Sie sie später“? CertiK wurde wegen „Erpressung der Kraken-Börse“ befragt. Dieser Artikel wurde zuerst in „Blocker“ veröffentlicht.
