複数の暗号資産セキュリティ専門家によると、クラーケンが修正したと発表したバグは、先月からすでに他の中央集権型取引所を悪用するために使用されていたという。
これは、米国を拠点とする取引所Krakenと監査法人CertiKという2つの大手暗号通貨企業の物語における最新の展開だ。
クラーケンは水曜日、米国拠点の取引所から数百万ドル相当の仮想通貨が誤って引き出される「重大な」バグを修正したと発表した。
CertiK は、このバグを悪用したことを認めた後、非難を浴びた。同社は 6 月初旬の数日間にわたり、Kraken から 300 万ドルを引き出している。
公開のやり取りの後、CertiK は受け取った資金をすべて返還し、自らの行動をホワイトハット作戦と称した。つまり、彼らは表面上はセキュリティの脆弱性を悪用するのではなく、特定して修正する目的で倫理的なハッカーとして行動したということだ。
セキュリティプラットフォームのHexagateによって最初に特定され、他の複数のセキュリティ研究者によってDL Newsに確認されたオンチェーン記録によると、ハッカーは5月17日という早い時期に同じバグを使用して、他の暗号通貨取引所(Binance、OKX、BingX、Gate.io)を悪用しようとした。
これらの試みは、CertiKが6月5日にKrakenのバグを発見したと発表した3週間前に行われた。
「これらの取引所が影響を受けたという証拠はない」とヘキサゲートはXに投稿した。「同様の活動のオンチェーン証拠を追跡しただけだ」
中央集権型暗号通貨取引所は、顧客に代わって膨大な量の暗号通貨を保有しています。ウォレットアドレスを公開している上位5つの暗号通貨取引所は、DefiLlamaのデータによると、合計1,720億ドル相当の暗号通貨を保有しています。
CertiK社はDL Newsのコメント要請にすぐには応じなかった。
試みられた悪用
ヘキサゲートが明らかにした記録は、ハッカーがいわゆる「リバート」攻撃を使って中央集権型取引所を騙し、資金を引き出させようとしたことを示している。
そのために、ハッカーは中央取引所に資金を預ける取引を含むスマート コントラクトを作成しました。このコントラクトは、メインの取引は成功しますが、預け入れは元に戻るように設計されていました。
これにより、取引所はユーザーが実際には入金していない資金を入金したと勘違いします。その後、ハッカーは取引所に引き出しを要求し、偽の入金額を引き落とします。
オンチェーンの記録によると、5月17日にBNBチェーン上でBinanceに資金を入金する際に、このような契約を使用する試みが複数回行われたことが示されています。
5月29日から6月5日の間に、同じアドレスと、そこから資金提供を受けた別のアドレスが、OKX、BingX、Gate.ioのBNB Chain、Arbitrum、Optimismで同様の試みを行った。
CertiK は関係していますか?
CertiK は最初にリバート攻撃を公表しましたが、以前の攻撃に関与していたという証拠はありません。
スマート コントラクトの各機能には、識別できる署名ハッシュと呼ばれるものがあります。
リバート攻撃コントラクトの場合、署名ハッシュは利用できないため、関数の名前は公表されていないと、匿名を希望するセキュリティ研究者が DL News に語った。
これは、リバート攻撃の関数名がCertiKに知られているか、または他の誰かがまったく同じ名前を使用していることを意味すると研究者は述べています。
Tim Craig は、DL News のエディンバラを拠点とする DeFi 特派員です。ヒントがあれば、tim@dlnews.com までご連絡ください。