CertiK пояснює етичну позицію хакерства, Kraken визнає повне повернення коштів

Cryptopolitan · 2024-06-21T09:43:02.000Z

CertiK, фірма з безпеки смарт-контрактів, продовжує стверджувати, що її дії проти біржі Kraken були етичними і що вона намагалася оцінити повний обсяг недоліків безпеки. Тестери також стверджують, що вони повернули всі кошти натурою і не вимагали Kraken. Команда CertiK розробила нову заяву, щоб спростувати деякі попередні заяви Kraken. Тестери відхилили вимоги про винагороду, заявивши, що їхнім пріоритетом є усунення вразливості можливості друку коштів на обліковий запис. Читайте: Kraken повертає 3 мільйони доларів, оскільки критика Certik зростає

スマートコントラクトセキュリティ企業CertiKは、Kraken取引所に対する行動は倫理的であり、セキュリティ上の欠陥の全範囲を推定しようとしていたと主張し続けている。テスターらはまた、資金をすべて現物で返還しており、Krakenを脅迫していないと主張している。
CertiKチームは、以前のKrakenの主張を反駁するために新しい声明を作成しました。テスターは、アカウントに資金を印刷できる脆弱性を修正することを最優先しているとして、懸賞金の要求を否定しました。
読んでください: Certik に対する批判が高まる中、Kraken は 300 万ドルを回収
引き出された資金はすべてKrakenのコールドウォレットからのものであり、ユーザーアカウントは影響を受けませんでした。コインはCertiK独自の計算と取引記録に基づいて返還されました。
最近の CertiK-Kraken ホワイトハット オペレーションに関する Q&A: 1. 実際のユーザーが資金を失いましたか?いいえ。暗号通貨は空から鋳造されたものであり、実際の Kraken ユーザーの資産は当社の調査活動に直接関与していません。2. 資金の返還を拒否しましたか?いいえ。当社と…
— CertiK (@CertiK) 2024年6月20日
CertiK の最も物議を醸した行動は、資金の一部を Tornado Cash に送金した記録です。このコインミキサーは、米国財務省から以前にも制裁を受けており、米国に居住する人物が CertiK と関わることを禁止されています。
CertiK は Tornado Cash の使用をよく知っており、そのエクスプロイトの証拠として転送を含めました。CertiK は以前、古いエクスプロイトの一部として Tornado Cash の使用も追跡していました。Certik の主な焦点の 1 つは、無制限のトークン作成につながる同様のロジックの欠陥を含むことが多いスマート コントラクトの監査です。
CertiK の倫理的ハッキングへのアプローチは、エクスプロイトのテストのために少額が Tornado Cash に直接送金されたため、観察者を不安にさせた。Kraken がエクスプロイトの実際の規模を最終的に通知する前に、Kraken のテスト プロセスのいくつかの手順がソーシャル メディアで漏洩された。
バグ報奨金の問題は議論されていないが、CertiKは資金を返還するために報奨金は必要なかったと主張し続けている。今のところ、KrakenのセキュリティチームはCertiKに対する報奨金を発表していない。
クラーケンは資金全額を受け取ったことを認める
CertiK は、集中型の Kraken プラットフォーム上で残高を生成し、それらのアカウントに代わって引き出しを実行しました。
CertiKの返還額が不正確だったというKrakenの主張は最も物議を醸した。しかし、これは数日後に反論された。Krakenの最高セキュリティ責任者ニック・ペルココ氏は、取引手数料を除いた資金が全額返還されたと発表した。
更新: 資金が返金されたことを確認できます (手数料による少額の損失を除く)。 https://t.co/cHkjPt3m2A
— ニック・ペルココ (@c7five) 2024年6月20日
CertiKの会計報告では、ETH、USDT、XMRのみの引き出しが報告されているが、Krakenは155,818.44 MATICも引き出され、混合されたと主張している。引き出し額は約300万ドルと推定されているが、Certikは少額で不正行為を証明した。
このエクスプロイトをさらに分析すると、CertiK は存在しない MATIC 残高を生成したが、トランザクションは失敗し、Kraken のコールドウォレットから資金は流出しなかったことが判明しました。生成された MATIC は単なる内部エクスプロイトであり、実際の Polygon トークンの転送にはつながりませんでした。
#Certik : 一見すると、Certik のエクスプロイトは、1. 契約の作成と資金の入金、2. LogFeeTransfer() イベントの生成、3. @krakenfx が入金アドレスの LogFeeTransfer() をスキャンし、MATIC が実際に存在するかどうかを確認していないようです。pic.twitter.com/QI4bdXJdbz
— Naïm Boubziz (@BrutalTrade) 2024 年 6 月 20 日
他のプロトコルがフラッシュローンで攻撃されたことがあるため、場合によっては資金の存在をシミュレートできる場合があります。
CertiKは、6月にエクスプロイトが再び増加し、アプリやプロトコルから3,000万ドル以上が盗まれたと主張した。この数には個々のウォレットに対する攻撃は含まれていない。
トルネードキャッシュは制裁から数年経った今でも営業を続けている
Tornado Cash ミキサーは、ミキサーを通過した後に資金が追跡できないため、依然として悪用を容易にしています。ウォレットとアドレスをブラックリストに登録した後でも、ハッカーが ETH をミックスして新しい未知のウォレットに送信するのを防ぐことはできません。
こちらもお読みください: トルネード・キャッシュ訴訟の背後にあるグループが米国財務省に敗訴
2022年以降、Tornado Cash のリソースは限られていますが、サービスは引き続き運用されています。
トルネード・キャッシュの創設者、アレクセイ・ペルツェフは2024年5月に有罪判決を受け、数年の禁固刑を受ける可能性がある。しかし、制裁と禁止措置は、米国以外の管轄区域には影響を及ぼさないこのミキサーの使用を誰もが阻止するものではない。
USDC などの一部のコインは、すべての Tornado Cash 契約をブラックリストに登録しています。契約に送金された資金は、再び回収することはできません。USDC は、コインを凍結する集中管理機能でも知られています。Kraken にとって、Tornado Cash 契約アドレスに引き出す機能も大きな脆弱性でした。ほとんどのトークン プロデューサーはトークンを管理しないことを選択しているため、トークンは盗難に対して脆弱であり、ミキシングによって回収することはできません。
クリプトポリタンのクリスティーナ・ヴァシレヴァ記者によるレポート

クリエイターからの情報をさらに見る

最新ニュース