CertiK, das Unternehmen für Smart-Contract-Sicherheit, behauptet weiterhin, dass seine Maßnahmen gegen die Kraken-Börse ethisch waren und dass es versucht hat, das gesamte Ausmaß der Sicherheitsmängel abzuschätzen. Die Tester behaupten auch, dass sie alle Gelder in Form von Sachleistungen zurückgegeben und Kraken nicht erpresst haben.
Das CertiK-Team entwickelte eine neue Stellungnahme, um einige frühere Behauptungen von Kraken zu widerlegen. Die Tester lehnten die Forderung nach einer Kopfprämie ab und erklärten, ihre Priorität liege darin, die Sicherheitslücke beim Drucken von Geld auf ein Konto zu beheben.
Lesen Sie: Kraken erhält 3 Millionen US-Dollar zurück, während die Kritik an Certik zunimmt
Alle abgehobenen Gelder stammten aus den Cold Wallets von Kraken und es waren keine Benutzerkonten betroffen. Die Coins wurden auf Grundlage der eigenen Berechnungen und Transaktionsaufzeichnungen von CertiK zurückgegeben.
Fragen und Antworten zu den jüngsten Whitehat-Operationen von CertiK-Kraken: 1. Hat ein echter Benutzer Geld verloren? Nein. Kryptowährungen wurden aus dem Nichts geprägt und die Vermögenswerte echter Kraken-Benutzer waren nicht direkt an unseren Forschungsaktivitäten beteiligt. 2. Haben wir uns geweigert, die Gelder zurückzugeben? Nein. In unserer Kommunikation mit …
– CertiK (@CertiK), 20. Juni 2024
Die umstrittenste Aktion von CertiK betraf Aufzeichnungen über die Überweisung von Geldbeträgen an Tornado Cash. Der Coin-Mixer war bereits zuvor mit Sanktionen des US-Finanzministeriums belegt worden, das Personen mit Wohnsitz in den USA die Interaktion mit ihm untersagte.
CertiK ist sich der Verwendung von Tornado Cash durchaus bewusst und hat die Überweisungen als Beweis für seinen Exploit beigefügt. Zuvor hat CertiK auch die Verwendung von Tornado Cash im Rahmen älterer Exploits verfolgt. Einer der Hauptschwerpunkte von Certik bleibt die Prüfung von Smart Contracts, die oft ähnliche Logikfehler enthalten, die zu einer unbegrenzten Token-Erstellung führen.
CertiKs Ansatz zum ethischen Hacken verunsicherte Beobachter, da kleine Summen direkt an Tornado Cash gesendet wurden, um den Exploit zu testen. Einige Schritte des Testprozesses von Kraken wurden in den sozialen Medien durchgesickert, bevor Kraken schließlich die tatsächliche Größe des Exploits mitteilte.
Die Frage einer Bug-Bounty wurde nicht diskutiert, aber CertiK behauptet immer wieder, dass für die Rückzahlung der Gelder keine Kopfgeldprämie erforderlich sei. Bisher hat das Sicherheitsteam von Kraken noch keine Kopfgeldprämie für CertiK angekündigt.
Kraken gibt zu, alle Gelder erhalten zu haben
CertiK hat auf der zentralisierten Kraken-Plattform Guthaben generiert und im Namen dieser Konten Abhebungen vorgenommen.
Am umstrittensten waren Krakens Behauptungen, CertiK habe falsche Angaben gemacht. Diese wurden jedoch einige Tage später widerlegt. Krakens Chief Security Officer Nick Percoco gab bekannt, dass die Gelder abzüglich der Transaktionsgebühren vollständig zurückgezahlt worden seien.
Update: Wir können nun bestätigen, dass die Gelder zurückerstattet wurden (abzüglich eines kleinen Betrags, der durch Gebühren verloren gegangen ist). https://t.co/cHkjPt3m2A
– Nick Percoco (@c7five), 20. Juni 2024
Die Buchhaltung von CertiK meldete Abhebungen nur von ETH, USDT und XMR, während Kraken auch behauptete, dass 155.818,44 MATIC ebenfalls abgehoben und gemischt wurden. Die Abhebungen wurden auf rund 3 Millionen US-Dollar geschätzt, obwohl Certik einen kleinen Betrag verwendete, um den Exploit zu beweisen.
Eine weitere Analyse des Exploits zeigte, dass CertiK nicht vorhandene MATIC-Guthaben generierte, die Transaktionen jedoch fehlschlugen und keine Gelder die Kraken Cold Wallets verließen. Das generierte MATIC war nur ein interner Exploit, der nicht zur Übertragung echter Polygon-Token führte.
#Certik: Auf den ersten Blick scheint der Exploit von Certik aus Folgendem zu bestehen: 1. Erstellen eines Vertrags und Einzahlen von Geldmitteln 2. Generieren des LogFeeTransfer()-Ereignisses 3. @krakenfx scannt LogFeeTransfer() auf seinen Einzahlungsadressen und scheint nicht zu überprüfen, ob die MATIC wirklich da sind. pic.twitter.com/QI4bdXJdbz
– Naïm Boubziz (@BrutalTrade) 20. Juni 2024
In einigen Fällen kann die Anwesenheit von Geldern simuliert werden, da andere Protokolle mit Blitzkrediten angegriffen wurden.
CertiK behauptete, dass die Zahl der Exploits im Juni wieder zugenommen habe und dabei über 30 Millionen US-Dollar aus Apps und Protokollen gestohlen worden seien. Die Zahl beinhaltet keine Angriffe auf einzelne Wallets.
Tornado Cash ist auch Jahre nach den Sanktionen noch aktiv
Der Tornado Cash-Mixer erleichtert immer noch Exploits, da Gelder nach dem Durchlaufen des Mixers nicht mehr nachvollziehbar sind. Selbst nach dem Blacklisting von Wallets und Adressen hindert nichts Hacker daran, ETH zu mischen und an neue, unbekannte Wallets zu senden.
Lesen Sie auch: Gruppe hinter der Tornado Cash-Klage verliert gegen das US-Finanzministerium
Seit 2022 verfügt Tornado Cash über eingeschränkte Ressourcen, der Dienst ist jedoch weiterhin betriebsbereit.
Der Gründer von Tornado Cash, Alexey Pertsev, wurde im Mai 2024 verurteilt und muss mit einer mehrjährigen Haftstrafe rechnen. Die Sanktionen und Verbote hindern jedoch niemanden daran, den Mixer zu verwenden, was Gerichtsbarkeiten außerhalb der USA nicht betrifft.
Einige Coins, wie USDC, haben alle Tornado Cash-Verträge auf die schwarze Liste gesetzt. Alle an den Vertrag gesendeten Gelder können nicht wiederhergestellt werden. USDC ist auch für seine zentrale Fähigkeit bekannt, Coins einzufrieren. Für Kraken war die Möglichkeit, an eine Tornado Cash-Vertragsadresse abzuheben, ebenfalls eine große Schwachstelle. Die meisten Token-Produzenten entscheiden sich dafür, keine Kontrolle über Token auszuüben, wodurch diese anfällig für Diebstahl und durch Mischen unwiederbringlich sind.
Cryptopolitan-Berichterstattung von Hristina Vasileva