Firma zajmująca się bezpieczeństwem Blockchain, CertiK, potwierdziła, że ​​stoi za exploitem, który spowodował nieautoryzowane wycofanie tokenów o wartości 3 milionów dolarów z Krakena.

CertiK, firma zajmująca się bezpieczeństwem blockchain z siedzibą w Nowym Jorku, przyznała się, że stoi za exploitem, który doprowadził do nieautoryzowanego wycofania tokenów o wartości 3 milionów dolarów z giełdy kryptowalut Kraken.

W wątku z 19 czerwca na platformie X CertiK ujawnił, że zidentyfikował szereg „krytycznych luk” w giełdzie Krakena, które „potencjalnie mogą prowadzić do strat wartych setki milionów dolarów”.

CertiK niedawno zidentyfikował szereg krytycznych luk w zabezpieczeniach giełdy @krakenfx, które mogą potencjalnie prowadzić do strat rzędu setek milionów dolarów. Zaczynając od ustalenia w systemie depozytowym @krakenfx, który może nie rozróżniać różnych wewnętrznych… pic.twitter.com/ JZkMXj2ZCD

— CertiK (@CertiK) 19 czerwca 2024 r

Według CertiK problem został po raz pierwszy zidentyfikowany 5 czerwca, a Kraken nie przeszedł wielu testów, co wskazuje, że system dogłębnej obrony giełdy został „zagrożony na wielu frontach”. Firma szczególnie zauważyła, że ​​udało jej się ominąć kontrolę ryzyka wycofania środków obowiązującą na giełdzie, nie wywołując żadnych alertów.

„Ogromna ilość sfabrykowanych kryptowalut (o wartości ponad 1 mln USD) może zostać wypłacona z konta i zamieniona na ważne kryptowaluty. Co gorsza, podczas wielodniowego okresu testowego nie zostały uruchomione żadne alerty. Kraken odpowiedział i zablokował konta testowe dopiero kilka dni po tym, jak oficjalnie zgłosiliśmy incydent.

CertiK

Może cię także zainteresować: Szef bezpieczeństwa Krakena ujawnia, że ​​zmiana UX spowodowała exploit o wartości 3 milionów dolarów

CertiK twierdzi, że po odkryciu luk poinformował Krakena, którego zespół ds. bezpieczeństwa sklasyfikował problem jako „krytyczny”. Jednak po zidentyfikowaniu i naprawieniu exploita CertiK twierdzi, że zespół ds. operacji bezpieczeństwa Krakena „groził” poszczególnym pracownikom CertiK, żądając zwrotu „niedopasowanej ilości kryptowalut w nieuzasadnionym czasie, nawet bez podania adresów do spłaty”.

CertiK nalegał, aby Kraken „zaprzestał wszelkich gróźb wobec hakerów Whitehat”, potwierdzając swoje zaangażowanie na rzecz społeczności web3 „w duchu przejrzystości”. Jednak incydent wywołał kontrowersje i sceptycyzm w społeczności blockchain, ponieważ badacze blockchaina podkreślili rozbieżności w harmonogramie i twierdzeniach CertiK.

HAHAHHA WY PIEPRZONE KLAUNY Absolutnie NIE ma wszechświata, w którym byłoby to „badania bezpieczeństwa białych kapeluszy”. Kraken jest niesamowicie cierpliwy, bo nie nazwał tego wprost tym, czym jest bardzo wyraźnie: wielomilionową kradzieżą ze stroną wymuszenia.

— Tay 💖 (@tayvano_) 19 czerwca 2024 r

Jak zauważył Meir Dolev, dyrektor ds. technologii Cyvers na swoim koncie X, adres powiązany z CertiK rozpoczął podejrzaną aktywność w wielu sieciach blockchain na kilka tygodni przed pierwszym zgłoszeniem incydentu z Krakenem, co rodzi pytania dotyczące harmonogramu dostarczonego przez CertiK.

Po incydencie @krakenfx podobna aktywność rozpoczęła się w bazie 26 dni temu!! Ten sam skrót podpisu był również używany w Polygon 14 dni temu. Czy zatem powinniśmy wierzyć osi czasu Cetika, że ​​odkryli lukę dopiero 5 czerwca?@tayvano_ pic.twitter.com/cvAnVrTg67

— Meir Dolev (@Meir_Dv) 19 czerwca 2024 r

W kolejnym poście w wątku CertiK dyrektor Coinbase Conor Grogan zwrócił uwagę, że adresy powiązane z CertiK wysłały część wycofanego krypto do Tornado Cash, usługi miksującej zatwierdzonej przez Biuro Kontroli Aktywów Zagranicznych Departamentu Skarbu USA (OFAC). za ułatwienie prania kryptowalut o wartości około 7 miliardów dolarów od 2019 r.

Z raportów wynika również, że adresy powiązane z CertiK wysłały część wycofanego krypto do ChangeNOW, niepowierniczej giełdy kryptowalut. W chwili publikacji prasy CertiK nie wydał żadnych publicznych oświadczeń na temat powodów swojej interakcji z Tornado Cash i ChangeNOW, chociaż twierdzi, że zwrócił Krakenowi wszystkie wycofane tokeny.

Przeczytaj więcej: Telegram odrzuca twierdzenie CertiK o ryzyku bezpieczeństwa automatycznego pobierania