Blockchain drošības firma CertiK apstiprināja, ka tā ir aiz kļūdas izmantošanas, kuras rezultātā no Kraken tika neatļauti izņemti žetoni 3 miljonu USD vērtībā.
Ņujorkas blokķēdes drošības firma CertiK ir atzinusi, ka ir bijusi aiz kļūdas izmantošanas, kuras rezultātā no Kraken kriptovalūtu biržas tika nesankcionēti izņemti žetoni 3 miljonu USD vērtībā.
19. jūnija pavedienā par X CertiK atklāja, ka ir identificējis vairākas “kritiskas ievainojamības” Kraken biržā, kas “varētu radīt simtiem miljonu dolāru zaudējumus”.
CertiK nesen atklāja virkni kritisku ievainojamību @krakenfx apmaiņā, kas potenciāli varētu radīt simtiem miljonu dolāru zaudējumus. Sākot no @krakenfx depozīta sistēmas konstatējuma, kurā var neizdoties atšķirt dažādus iekšējos… pic.twitter.com/ JZkMXj2ZCD
— CertiK (@CertiK) 2024. gada 19. jūnijs
Saskaņā ar CertiK teikto, problēma pirmo reizi tika identificēta 5. jūnijā, un Krakenam neizdevās veikt vairākas pārbaudes, norādot, ka biržas padziļinātās aizsardzības sistēma ir "kompromitēta vairākās frontēs". Uzņēmums īpaši atzīmēja, ka tai izdevās apiet biržas izņemšanas riska kontroli, neizraisot nekādus brīdinājumus.
“No konta var izņemt milzīgu daudzumu izgatavotu kriptovalūtu (vairāk nekā 1 miljons+ USD vērtībā) un pārvērst par derīgām kriptovalūtām. Vēl ļaunāk, ka vairāku dienu testēšanas periodā netika aktivizēti brīdinājumi. Krakens atbildēja un bloķēja testa kontus tikai dažas dienas pēc tam, kad mēs oficiāli ziņojām par incidentu.
CertiK
Jums varētu patikt arī: Kraken galvenā drošība atklāj, ka UX izmaiņas izraisīja kļūdu izmantošanu 3 miljonu dolāru apmērā
Atklājot trūkumus, CertiK apgalvo, ka tas informēja Krakenu, kura drošības komanda klasificēja problēmu kā "kritisku". Tomēr pēc ekspluatācijas identificēšanas un novēršanas CertiK apgalvo, ka Kraken drošības operāciju komanda “apdraudējusi” atsevišķiem CertiK darbiniekiem, pieprasot atmaksāt “neatbilstošu kriptovalūtu daudzumu nepamatotā laikā, pat nenorādot atmaksas adreses”.
CertiK mudināja Kraken "pārtraukt jebkādus draudus pret whitehat hakeriem", apliecinot savu apņemšanos web3 kopienai "pārredzamības garā". Tomēr incidents ir izraisījis pretrunas un skepsi blokķēdes kopienā, jo blokķēdes pētnieki ir uzsvēruši neatbilstības CertiK laika skalā un apgalvojumos.
HAHAHHA JŪS, SASODĀTIE KLAUNI, Nav absolūti NEVIENA Visuma, kurā būtu "balta drošības izpēte". Krakens ir neticami pacietīgs, jo nenosauca to par to, kā tas ir ļoti skaidri: vairāku miljonu dolāru zādzība ar izspiešanas pusi.
— Tay 💖 (@tayvano_) 2024. gada 19. jūnijs
Kā atzīmēja Cyvers galvenais tehnoloģiju speciālists Meirs Dolevs savā X kontā, adrese, kas saistīta ar CertiK, sāka aizdomīgu darbību vairākos blokķēdes tīklos nedēļas pirms tika ziņots par Kraken incidentu, radot jautājumus par CertiK sniegto laika grafiku.
Pēc @krakenfx incidenta līdzīga darbība sākās bāzē pirms 26 dienām!! Tāda pati paraksta jaucējkoda tika izmantota arī daudzstūrī pirms 14 dienām. Vai mums vajadzētu ticēt Cetik laika skalai, ka viņi atklāja ievainojamību tikai 5. jūnijā?@tayvano_ pic.twitter.com/cvAnVrTg67
— Meirs Dolevs (@Meir_Dv) 2024. gada 19. jūnijs
Turpmākajā ziņojumā saskaņā ar CertiK pavedienu Coinbase direktors Konors Grogans norādīja, ka adreses, kas saistītas ar CertiK, nosūtīja daļu izņemtās kriptovalūtas uz Tornado Cash, sajaukšanas pakalpojumu, ko sankcionējis ASV Valsts kases Ārvalstu aktīvu kontroles birojs (OFAC). par kriptovalūtu legalizēšanas veicināšanu aptuveni 7 miljardu ASV dolāru apmērā kopš 2019. gada.
Ziņojumos arī tiek apgalvots, ka ar CertiK saistītās adreses nosūtīja izņemtās kriptovalūtas daļas uz ChangeNOW, ar brīvības atņemšanu nesaistītu kriptovalūtu apmaiņu. Preses laikā CertiK nav sniedzis publisku paziņojumu par to, kāpēc tas mijiedarbojās ar Tornado Cash un ChangeNOW, lai gan apgalvo, ka ir atgriezis visus izņemtos žetonus Krakenam.
Lasīt vairāk: Telegram atspēko CertiK automātiskās lejupielādes drošības riska prasību