CertiK Admits Kraken’s $3m Exploit, Raises Eyebrows for Sending Crypto to Tornado Cash

CryptoNews · 2024-06-20T08:33:04.000Z

Blockchain security firm CertiK confirmed it was behind a bug exploit that resulted in an unauthorized withdrawal of $3 million worth of tokens from Kraken. New York-headquartered blockchain security firm CertiK has admitted to being behind a bug exploit that resulted in an unauthorized withdrawal of $3 million worth of tokens from the Kraken crypto exchange. In a Jun. 19 thread on X, CertiK revealed that it had identified a series of “critical vulnerabilities” in Kraken’s exchange that could “potentially lead to hundreds of millions of dollars in losses.” CertiK recently identified a series of critical vulnerabilities in @krakenfx exchange which could potentially lead to hundreds of millions of dollars in losses.Starting from a finding in @krakenfx's deposit system where it may fail to differentiate between different internal… pic.twitter.com/JZkMXj2ZCD — CertiK (@CertiK) June 19, 2024 According to CertiK, the issue was first identified on Jun. 5, and Kraken failed multiple tests, indicating that the exchange’s defense-in-depth system was “compromised on multiple fronts.” The firm particularly noted that it managed to bypass the exchange’s withdrawal risk controls without triggering any alerts. “A huge amount of fabricated crypto (worth more than 1M+ USD) can be withdrawn from the account and converted into valid cryptos. Worse yet, no alerts were triggered during the multi-day testing period. Kraken only responded and locked the test accounts days after we officially reported the incident.” CertiK You might also like: Kraken chief security reveals UX change resulted in $3m bug exploit Upon discovering the flaws, CertiK claims it informed Kraken, whose security team classified the issue as “critical.” However, after the exploit was identified and fixed, CertiK alleges that Kraken’s security operations team “threatened” individual CertiK employees, demanding repayment of a “mismatched amount of crypto in an unreasonable time even without providing repayment addresses.” CertiK urged Kraken to “cease any threats against whitehat hackers,” asserting its commitment to the web3 community “in the spirit of transparency.” However, the incident has sparked controversy and skepticism within the blockchain community as blockchain researchers have highlighted discrepancies in CertiK’s timeline and claims. HAHAHHA YOU FUCKING CLOWNSThere is absolutely NO universe where this is "whitehat security research"Kraken is being incredibly patient for not outright calling this what it very clearly is: a multimillion dollar theft with a side of extortion. — Tay 💖 (@tayvano_) June 19, 2024 As noted Cyvers chief technology officer Meir Dolev on his X account, an address associated with CertiK began suspicious activity across multiple blockchain networks weeks before the Kraken incident was first reported, raising questions about the timeline provided by CertiK. Following the @krakenfx Incident, similar activity started on base 26 days ago!! The same signature hash is also used on Polygon 14 days ago. So should we believe Cetik timeline that they found the vulnerability only on June 5th?@tayvano_ pic.twitter.com/cvAnVrTg67 — Meir Dolev (@Meir_Dv) June 19, 2024 In a follow-up post under CertiK’s thread, Coinbase director Conor Grogan pointed out that addresses associated with CertiK sent part of the withdrawn crypto to Tornado Cash, a mixing service sanctioned by the U.S. Department of the Treasury’s Office of Foreign Assets Control (OFAC) for facilitating approximately $7 billion in crypto laundering since 2019. Reports also allege that CertiK-associated addresses sent parts of the withdrawn crypto to ChangeNOW, a non-custodial crypto exchange. As of press time, CertiK has made no public statements on why it interacted with Tornado Cash and ChangeNOW, though it claims to have returned all the withdrawn tokens to Kraken. Read more: Telegram refutes CertiK’s auto-download security risk claim

Perusahaan keamanan Blockchain CertiK mengonfirmasi bahwa mereka berada di balik eksploitasi bug yang mengakibatkan penarikan tidak sah token senilai $3 juta dari Kraken.
Perusahaan keamanan blockchain yang berkantor pusat di New York, CertiK, telah mengakui berada di balik eksploitasi bug yang mengakibatkan penarikan tidak sah token senilai $3 juta dari bursa kripto Kraken.
Dalam thread 19 Juni di X, CertiK mengungkapkan bahwa mereka telah mengidentifikasi serangkaian “kerentanan kritis” di bursa Kraken yang “berpotensi menyebabkan kerugian ratusan juta dolar.”
CertiK baru-baru ini mengidentifikasi serangkaian kerentanan kritis di bursa @krakenfx yang berpotensi menyebabkan kerugian ratusan juta dolar. Berawal dari temuan di sistem deposit @krakenfx yang mungkin gagal membedakan berbagai internal… pic.twitter.com/ JZkMXj2ZCD
— CertiK (@CertiK) 19 Juni 2024
Menurut CertiK, masalah ini pertama kali diidentifikasi pada tanggal 5 Juni, dan Kraken gagal dalam beberapa pengujian, yang menunjukkan bahwa sistem pertahanan mendalam bursa tersebut “dikompromikan di berbagai bidang.” Perusahaan tersebut secara khusus mencatat bahwa mereka berhasil melewati kontrol risiko penarikan bursa tanpa memicu peringatan apa pun.
“Sejumlah besar kripto palsu (bernilai lebih dari 1 juta+ USD) dapat ditarik dari akun dan diubah menjadi kripto yang valid. Yang lebih buruk lagi, tidak ada peringatan yang terpicu selama periode pengujian beberapa hari. Kraken hanya merespons dan mengunci akun pengujian beberapa hari setelah kami secara resmi melaporkan kejadian tersebut.”
Sertifikat
Anda mungkin juga menyukai: Kepala keamanan Kraken mengungkapkan perubahan UX mengakibatkan eksploitasi bug senilai $3 juta
Setelah menemukan kelemahannya, CertiK mengklaim telah memberi tahu Kraken, yang tim keamanannya mengklasifikasikan masalah tersebut sebagai “kritis.” Namun, setelah eksploitasi diidentifikasi dan diperbaiki, CertiK menuduh bahwa tim operasi keamanan Kraken “mengancam” masing-masing karyawan CertiK, menuntut pembayaran kembali “jumlah kripto yang tidak sesuai dalam waktu yang tidak wajar bahkan tanpa memberikan alamat pembayaran.”
CertiK mendesak Kraken untuk “menghentikan segala ancaman terhadap peretas whitehat,” menegaskan komitmennya terhadap komunitas web3 “dalam semangat transparansi.” Namun, insiden tersebut telah memicu kontroversi dan skeptisisme dalam komunitas blockchain karena para peneliti blockchain menyoroti perbedaan dalam timeline dan klaim CertiK.
HAHAHHA KAMU BODOH SIALANSama sekali TIDAK ada alam semesta di mana ini adalah "penelitian keamanan topi putih"Kraken sangat sabar karena tidak langsung menyebut ini dengan jelas: pencurian jutaan dolar dengan sisi pemerasan.
— Tay 💖 (@tayvano_) 19 Juni 2024
Seperti yang dicatat oleh chief technology officer Cyvers Meir Dolev di akun X-nya, alamat yang terkait dengan CertiK memulai aktivitas mencurigakan di beberapa jaringan blockchain beberapa minggu sebelum insiden Kraken pertama kali dilaporkan, sehingga menimbulkan pertanyaan tentang garis waktu yang disediakan oleh CertiK.
Menyusul Insiden @krakenfx, aktivitas serupa dimulai di pangkalan 26 hari yang lalu!! Hash tanda tangan yang sama juga digunakan di Polygon 14 hari yang lalu. Jadi haruskah kita percaya pada timeline Cetik bahwa mereka hanya menemukan kerentanan pada tanggal 5 Juni?@tayvano_ pic.twitter.com/cvAnVrTg67
— Meir Dolev (@Meir_Dv) 19 Juni 2024
Dalam posting lanjutan di bawah utas CertiK, direktur Coinbase Conor Grogan menunjukkan bahwa alamat yang terkait dengan CertiK mengirim sebagian dari kripto yang ditarik ke Tornado Cash, layanan pencampuran yang disetujui oleh Kantor Pengendalian Aset Luar Negeri (OFAC) Departemen Keuangan AS. karena memfasilitasi sekitar $7 miliar pencucian kripto sejak 2019.
Laporan juga menyatakan bahwa alamat terkait CertiK mengirimkan sebagian dari kripto yang ditarik ke ChangeNOW, pertukaran kripto non-penahanan. Hingga berita ini dimuat, CertiK belum membuat pernyataan publik tentang mengapa mereka berinteraksi dengan Tornado Cash dan ChangeNOW, meskipun mereka mengklaim telah mengembalikan semua token yang ditarik ke Kraken.
Baca selengkapnya: Telegram membantah klaim risiko keamanan pengunduhan otomatis CertiK

CertiK Mengakui Eksploitasi $3 juta Kraken, Menaikkan Alis karena Mengirim Crypto ke Tornado Cash

Jelajahi Konten Lainnya dari Kreator

Berita Terbaru

CertiK Mengakui Eksploitasi $3 juta Kraken, Menaikkan Alis karena Mengirim Crypto ke Tornado Cash

Jelajahi Konten Lainnya dari Kreator

Berita Terbaru

Artikel yang Sedang Tren