CertiK Clears the Air on Ethical Hacking Practices, Kraken Confirms Full Fund Return

CoinFea · 2024-06-21T10:53:01.000Z

CertiK, a leader in smart contract security, has released a statement countering previous allegations from the cryptocurrency exchange Kraken. It insists its actions were ethically sound and focused on identifying security vulnerabilities. The firm affirmed that it had returned all funds extracted during the test and denied any extortion or demand for a bounty. This announcement comes amidst the firm’s ongoing efforts to enhance blockchain security through rigorous testing and auditing. Detailed test procedures and fund recovery CertiK’s recent clarification highlights that the operation was meant to uncover potential security lapses that could allow the unauthorized creation of funds within user accounts. Throughout the testing phase, CertiK could withdraw funds only from Kraken’s cold wallets, ensuring no user assets were compromised. The returned assets were meticulously calculated based on detailed transaction logs maintained by CertiK. Q&A to recent CertiK-Kraken whitehat operations: 1. Did any real user lose fund？No. Cryptos were minted out of air, and no real Kraken user’s assets were directly involved in our research activities.2. Have we refused to return the funds?No. In our communication with… — CertiK (@CertiK) June 20, 2024 CertiK also acknowledged transferring minor sums to Tornado Cash—a coin mixer previously sanctioned by the U.S. Treasury—to demonstrate the exploit’s potential. This testing method was part of CertiK’s broader strategy to expose vulnerabilities similar to those found in other smart contracts that have led to significant security breaches. Transparency and ethical considerations Despite the speculative nature of its testing methods, which included public leaks of specific procedures on social media, CertiK remains steadfast that its primary objective was the remediation of the flaw rather than financial gain. The issue of a bounty was explicitly addressed, with CertiK stating that their actions were not motivated by monetary rewards. Kraken’s security team has yet to announce any bug bounty related to this incident, reinforcing CertiK’s claims of ethical conduct. Update: We can now confirm the funds have been returned (minus a small amount lost to fees). https://t.co/cHkjPt3m2A — Nick Percoco (@c7five) June 20, 2024 Kraken initially disputed the accuracy of the funds returned, particularly highlighting an alleged discrepancy involving 155,818.44 MATIC tokens. However, Nick Percoco, Kraken’s Chief Security Officer, quickly clarified this, later confirming that all funds were returned, less transaction fees. This resolution underscored the challenges in accurately assessing and managing withdrawals during security tests, particularly those involving large sums and multiple cryptocurrencies like ETH, USDT, and XMR. Operational risks and resilience of tornado cash Despite facing operational challenges and sanctions that limit its use within the U.S., Tornado Cash continues to function, facilitating the anonymity of cryptocurrency transactions. This persists even as notable cryptocurrencies like USDC have moved to blacklist interactions with Tornado Cash contracts, effectively freezing transferred funds. #Certik : At first glance, it seems that Certik's exploit consists of:1. Creating a contract & depositing funds into it2. Generating the LogFeeTransfer() event3. @krakenfx scans LogFeeTransfer() on its deposit addresses and doesn't seem to verify if the MATIC are really there pic.twitter.com/QI4bdXJdbz — Naïm Boubziz (@BrutalTrade) June 20, 2024 This scenario highlights the ongoing struggle between ensuring operational security and adhering to regulatory standards, especially as digital currencies and their associated platforms become increasingly mainstream. CertiK’s latest tests and subsequent clarifications are critical reminders of the sophisticated nature of blockchain exploits and the continuous need for vigilant security practices in the cryptocurrency industry. As the sector evolves, ethical hacking and exchanges’ responses will play pivotal roles in shaping the security landscape. The post CertiK Clears the Air on Ethical Hacking Practices, Kraken Confirms Full Fund Return first appeared on Coinfea.

CertiK, lider bezpieczeństwa inteligentnych kontraktów, wydał oświadczenie odpierające wcześniejsze zarzuty ze strony giełdy kryptowalut Kraken. Upiera się, że jego działania były uzasadnione etycznie i skupiały się na identyfikowaniu luk w zabezpieczeniach. 
Firma potwierdziła, że ​​zwróciła wszystkie środki pobrane podczas testu i zaprzeczyła jakimkolwiek wyłudzeniom lub żądaniu nagrody. To ogłoszenie pojawia się w ramach ciągłych wysiłków firmy mających na celu zwiększenie bezpieczeństwa blockchain poprzez rygorystyczne testy i audyty.
Szczegółowe procedury testowe i odzyskiwanie środków
W niedawnych wyjaśnieniach CertiK podkreślono, że operacja miała na celu wykrycie potencjalnych luk w zabezpieczeniach, które mogłyby pozwolić na nieuprawnione tworzenie środków na kontach użytkowników. W fazie testowej CertiK mógł wypłacać środki wyłącznie z zimnych portfeli Krakena, upewniając się, że żadne aktywa użytkownika nie zostały naruszone. Zwrócone aktywa zostały szczegółowo wyliczone w oparciu o szczegółowe dzienniki transakcji prowadzone przez CertiK.
Pytania i odpowiedzi dotyczące ostatnich operacji Whitehat CertiK-Kraken: 1. Czy jakikolwiek prawdziwy użytkownik stracił środki? Nie. Kryptowaluty zostały wybite z powietrza, a w nasze działania badawcze nie były bezpośrednio zaangażowane żadne aktywa prawdziwego użytkownika Krakena.2. Czy odmówiliśmy zwrotu środków? Nie. W naszej komunikacji z…
— CertiK (@CertiK) 20 czerwca 2024 r
CertiK potwierdził również przekazanie niewielkich sum do Tornado Cash – mieszalnika monet, na który wcześniej nałożono sankcje ze strony Departamentu Skarbu USA – w celu zademonstrowania potencjału exploita. Ta metoda testowania była częścią szerszej strategii CertiK mającej na celu ujawnienie luk podobnych do tych występujących w innych inteligentnych kontraktach, które doprowadziły do ​​​​poważnych naruszeń bezpieczeństwa.
Przejrzystość i względy etyczne
Pomimo spekulacyjnego charakteru metod testowania, który obejmował publiczne wycieki określonych procedur w mediach społecznościowych, CertiK niezachwianie utrzymuje, że jego głównym celem było naprawienie wady, a nie zysk finansowy. 
Wyraźnie poruszono kwestię nagrody, przy czym CertiK stwierdził, że ich działania nie były motywowane nagrodami pieniężnymi. Zespół ds. bezpieczeństwa firmy Kraken nie ogłosił jeszcze nagrody za błędy związane z tym incydentem, co potwierdza twierdzenia CertiK dotyczące etycznego postępowania.
Aktualizacja: Możemy teraz potwierdzić, że środki zostały zwrócone (minus niewielka kwota utracona z tytułu opłat). https://t.co/cHkjPt3m2A
— Nick Percoco (@c7five) 20 czerwca 2024 r
Kraken początkowo kwestionował dokładność zwróconych środków, podkreślając w szczególności rzekomą rozbieżność dotyczącą 155 818,44 tokenów MATIC. Jednak Nick Percoco, dyrektor ds. bezpieczeństwa Krakena, szybko to wyjaśnił, potwierdzając później, że wszystkie środki zostały zwrócone, pomniejszone o opłaty transakcyjne. W tej rezolucji podkreślono wyzwania związane z dokładną oceną wypłat i zarządzaniem nimi podczas testów bezpieczeństwa, szczególnie tych obejmujących duże sumy i wiele kryptowalut, takich jak ETH, USDT i XMR.
Ryzyko operacyjne i odporność gotówki tornado
Pomimo wyzwań operacyjnych i sankcji, które ograniczają jego użycie w USA, Tornado Cash nadal funkcjonuje, ułatwiając anonimowość transakcji kryptowalutowych. Sytuacja ta utrzymuje się nawet wtedy, gdy znaczące kryptowaluty, takie jak USDC, zostały przeniesione na czarną listę interakcji z kontraktami Tornado Cash, skutecznie zamrażając przekazane środki. 
#Certik: Na pierwszy rzut oka wydaje się, że exploit Certika składa się z:1. Tworzenie umowy i wpłacanie na nią środków2. Generowanie zdarzenia LogFeeTransfer()3. @krakenfx skanuje LogFeeTransfer() na swoich adresach depozytów i wydaje się, że nie sprawdza, czy MATIC naprawdę tam jest pic.twitter.com/QI4bdXJdbz
— Naïm Boubziz (@BrutalTrade) 20 czerwca 2024 r
Scenariusz ten podkreśla ciągłą walkę między zapewnieniem bezpieczeństwa operacyjnego a przestrzeganiem standardów regulacyjnych, zwłaszcza że waluty cyfrowe i powiązane z nimi platformy stają się coraz bardziej powszechne.
Najnowsze testy CertiK i późniejsze wyjaśnienia w krytyczny sposób przypominają o wyrafinowanym charakterze exploitów blockchain i ciągłej potrzebie czujnych praktyk bezpieczeństwa w branży kryptowalut. W miarę ewolucji sektora etyczne hakowanie i reakcje giełd będą odgrywać kluczową rolę w kształtowaniu krajobrazu bezpieczeństwa.
Wpis CertiK oczyszcza atmosferę w sprawie etycznych praktyk hakerskich, Kraken potwierdza pełny zwrot środków po raz pierwszy pojawił się na Coinfea.

CertiK oczyszcza atmosferę w sprawie etycznych praktyk hakerskich, Kraken potwierdza pełny zwrot środków

Odkryj więcej od twórcy

Najnowsze wiadomości