Hundreds of millions of money could be lost

Ali Güzeloğlu · 2024-06-20T06:15:12.000Z

Crypto security company CertiK detected major vulnerabilities in Kraken CertiK, one of the companies providing services on blockchain security, claimed that it had detected major vulnerabilities in the US-based exchange Kraken and that this could lead to losses of hundreds of millions of dollars. CertiK stated that the vulnerabilities were shared with the relevant unit of Kraken and that the unit accepted these errors and vulnerabilities. Kraken, on the other hand, announced that it was eliminated in a short time after the error was seen, but claimed that CertiK employees also stole millions of dollars from the stock market.

Kripto güvenlik şirketi CertiK, Kraken’de büyük açıklar tespit etti
Blok zinciri güvenliği konusunda hizmet veren şirketlerden biri olan CertiK, ABD merkezli borsa Kraken'de büyük açıklar tespit ettiğini ve bu durumun yüz milyonlarca dolarlık kayıplara yol açabileceğini iddia etti. CertiK açıkların, Kraken'in ilgili birimiyle de paylaşıldığını, birimin de bu hata ve açıkları kabul ettiğini belirtti. Kraken ise hatanın görülmesinin ardından kısa süre içerisinde ortadan kaldırıldığını duyurdu ancak CertiK çalışanlarının da borsadan milyonalrca doalr çaldığını iddia etti.
Özellikle merkeziyetsiz finans ve akıllı kontratlar konusundaki güvenlik çalışmalarıyla bilinen CertiK, merkezi bir borsa olan Kraken’de büyük açıklar tespit ettiğini duyurdu.
“Sahte kripto, gerçekmiş gibi çekilebilir”
İlk etapta Kraken’de yatırıma işlemleriyle ilgili bazı hatalar bulunduğunu belirten CertiK, buradan yola çıkarak başka ve önemli açıkların da tespit edildiğini ifade etti:
“Kraken’in para yatırma sisteminde, bazı farklılıkların ayırt edilemediğini gördük ve araştırmamızı daha da derinleştirdik. Araştırmalarımızı 3 soru etrafında yürüttük.
*Kötü niyetli biri, Kraken’in bir hesabında olmayan kripto paraları, oraya yatırmış gibi gösterebilir mi?
*Aynı kişi, ürettiği gerçek olmayan bu fonları gerçekmiş gibi borsadan çekebilir mi?
*Büyük bir çekim talebi geldiğinde, Kraken hangi varlık koruma sistemlerini devreye sokmaktadır?
Yaptığımız denemeler sonucunda Kraken’in bu testlerin hiçbirinden geçemediğini gördük. Kraken’in savunma mekanizmalarının, çeşitli yerlerde geçilebildiğini tespit ettik. Sonuç olarak, Kraken’in herhangi bir hesabına milyonlarca dolarlık, sonradan üretilme ve gerçek olmayan kripto yatırılabilir ve bunlar gerçek kripto paraya çevrilip hesaptan çekilebilir”
“Hesapları kapayıp tehdit ettiler”
CertiK’in açıklaması sadece bunlarla sınırlı da kalmadı. Firma, Kraken’e gerekli uyarıların yapıldığını ancak bu uyarıların ardından hem hesapların kapatıldığını hem de kendilerinden makul olmayan bir süre içerisinde, çekilen kripto paraların karşılığının istendiğini ifade etti:
“Kraken’e gerekli bilgiler sağlandıktan sonra, şirketin güvenlik birimi sorunu ‘Kritik’ olarak işaretledi, ki bu onların en yüksek seviye güvenlik sınıflandırmasıdır. Çeşitli iyi niyetli bazı konuşmaların ardından ise, bizim çalışanlarımızı, çekilen ve aslında gerçekleriyle eşleşmemeiş bile olan kripto paraların geri ödenmesi konusunda tehdit ettiler. Ödeme istemelerine rağmen, bir adres bile göndermediler”
CertiK son olarak, kripto dünyası ve Web3 topluluğu için çalışmaya devam edeceğini belirtti ve “Kraken’i, iyi niyetli olan hacker’lara gönderdiği tehditleri sonlandırması konusunda uyarıyoruz” dedi.
Kraken’den açıklama: 3 milyon dolar çaldılar
Öte yandan Kraken’in baş güvenlik sorumlusu Nick Percoco ise konuyla ilgili X’ten açıklama yaptı. Sorunun bildirilmesinden sonra, kısa sürede ekiplerin harekete geçtiğini ve açıkların kapatıldığını ifade eden yönetici, güvenlik araştırmacısı olduğunu söyleyen kişilerin ise Kraken’den 3 milyon dolar çaldığını belirtti:
“Bu güvenlik araştırmacısı, ilk başta hesaptan 4 dolarlık bir çekim yaptı ve hatayı kanıtladı. Aslında bu, açığın görülmesi için yeterliydi. Bu kişi, hatayı ödül ekibimize ilettikten sonra önemli miktarda para alabilirdi. Ama kendisi, açığı başka iki kişiye de söyledi. Bu kişiler, Kraken’den 3 milyon doalr çekim yaptılar. Bu para müşterilerin değil, Kraken’indi. İlk raporda, bu işlemle ilgili detaylar yoktu. Biz onlardan raporun tam halini istedik, yine geri dönüş sağlamadılar. Bu iyi niyetli bir hacker durumu değil,gasptır”
-Hakan Ateşler

Odkryj więcej od twórcy

Najnowsze wiadomości