Pertengkaran Kraken senilai $3 juta dari CertiK: Peretas menggunakan bug yang sama untuk mengeksploitasi pertukaran kripto lainnya beberapa minggu sebelumnya

Bug yang menurut Kraken telah ditambal telah digunakan untuk mengeksploitasi bursa terpusat lainnya sejak bulan lalu, menurut beberapa pakar keamanan kripto.

Itu adalah perkembangan terbaru dalam kisah dua pemain kripto besar, bursa Kraken yang berbasis di AS dan auditor CertiK.

Pada hari Rabu, Kraken mengatakan pihaknya menambal bug “kritis” yang memungkinkan jutaan dolar kripto ditarik secara keliru dari bursa yang berbasis di AS.

CertiK mendapat kecaman setelah mengaku berada di balik eksploitasi bug tersebut. Perusahaan tersebut menarik $3 juta dari Kraken selama beberapa hari di awal Juni.

Setelah bolak-balik ke publik, CertiK mengembalikan semua dana yang diambilnya dan menyebut tindakannya sebagai operasi topi putih, yang berarti mereka bertindak sebagai peretas etis dengan tujuan mengidentifikasi dan memperbaiki kerentanan keamanan daripada mengeksploitasinya untuk tujuan jahat.

Catatan onchain pertama kali diidentifikasi oleh platform keamanan Hexagate, dan dikonfirmasi ke DL News oleh beberapa peneliti keamanan lainnya, menunjukkan seorang peretas mencoba mengeksploitasi bursa kripto lainnya – Binance, OKX, BingX, dan Gate.io – menggunakan bug yang sama pada awal 17 Mei.

Upaya tersebut dilakukan tiga minggu sebelum CertiK mengatakan mereka menemukan bug di Kraken pada 5 Juni.

“Kami tidak memiliki bukti bahwa pertukaran ini terkena dampaknya,” Hexagate memposting di X. “Kami hanya melacak bukti onchain untuk aktivitas serupa.”

Pertukaran kripto terpusat menyimpan sejumlah besar kripto atas nama pelanggannya. Lima bursa kripto teratas yang telah mengungkapkan alamat dompet mereka secara publik memiliki gabungan kripto senilai $172 miliar, menurut data DefiLlama.

CertiK tidak segera menanggapi permintaan komentar DL News.

Percobaan eksploitasi

Catatan yang disorot oleh Hexagate menunjukkan seorang peretas berusaha menggunakan apa yang disebut serangan “kembali” untuk mengelabui bursa terpusat agar membiarkan mereka menarik dana.

Untuk melakukan itu, peretas membuat kontrak pintar yang berisi transaksi penyetoran dana ke bursa terpusat. Kontrak direkayasa agar transaksi utama berhasil tetapi deposit dikembalikan.

Hal ini menipu bursa dengan berpikir bahwa pengguna telah menyetor dana padahal sebenarnya belum. Peretas kemudian meminta penarikan dari bursa, mendebit jumlah setoran palsu.

Catatan Onchain menunjukkan beberapa upaya untuk menggunakan kontrak semacam itu ketika menyetor dana ke Binance terjadi di BNB Chain pada 17 Mei.

Antara tanggal 29 Mei dan 5 Juni, alamat yang sama, serta alamat lain yang didanai olehnya, melakukan upaya serupa di OKX, BingX, dan Gate.io di BNB Chain, Arbitrum, dan Optimism.

Apakah CertiK terlibat?

Meskipun CertiK pertama kali mengungkapkan serangan balik tersebut secara publik, tidak ada bukti bahwa CertiK terlibat dalam serangan sebelumnya.

Masing-masing fungsi kontrak pintar memiliki apa yang disebut hash tanda tangan yang dapat diidentifikasi.

Dalam kasus kontrak serangan balik, hash tanda tangan tidak tersedia, yang berarti nama fungsinya tidak diketahui publik, kata seorang peneliti keamanan yang tidak ingin disebutkan namanya kepada DL News.

Ini berarti nama fungsi untuk serangan balik diketahui di CertiK atau orang lain juga telah menggunakan nama yang sama persis, kata peneliti.

Tim Craig adalah Koresponden DeFi DL News yang berbasis di Edinburgh. Hubungi dia dengan tips di tim@dlnews.com.