Według wielu ekspertów ds. bezpieczeństwa kryptowalut błąd, który według Krakena został załatany, został wykorzystany do wykorzystania innych scentralizowanych giełd już w zeszłym miesiącu.
To najnowsze osiągnięcie w sadze dwóch głównych graczy kryptograficznych, amerykańskiej giełdy Kraken i audytora CertiK.
W środę Kraken powiedział, że załatał „krytyczny” błąd, który umożliwił omyłkowe wycofanie milionów dolarów w kryptografii z amerykańskiej giełdy.
CertiK znalazł się w ogniu krytyki, gdy przyznał się, że stoi za exploitem związanym z tym błędem. Na początku czerwca firma w ciągu kilku dni wycofała od Krakena 3 miliony dolarów.
Po publicznej wymianie zdań CertiK zwrócił wszystkie pobrane środki i nazwał swoje działania operacją białego kapelusza, co oznacza, że rzekomo zachowywali się jak etyczni hakerzy, których zamiarem było zidentyfikowanie i naprawienie luk w zabezpieczeniach, a nie wykorzystywanie ich do złych celów.
Dane Onchain zidentyfikowane po raz pierwszy przez platformę bezpieczeństwa Hexagate i potwierdzone DL News przez wielu innych badaczy bezpieczeństwa pokazują, że haker próbował wykorzystać inne giełdy kryptowalut – Binance, OKX, BingX i Gate.io – używając tego samego błędu już 17 maja.
Próby te miały miejsce trzy tygodnie przed tym, jak CertiK poinformował, że 5 czerwca znalazł błąd w Krakenie.
„Nie mamy dowodów, że miało to wpływ na te giełdy” – napisał Hexagate w serwisie X. „Prześledziliśmy jedynie dowody w sieci na temat podobnej aktywności”.
Scentralizowane giełdy kryptowalut przechowują gigantyczną ilość kryptowalut w imieniu swoich klientów. Pięć największych giełd kryptowalut, które publicznie ujawniły adresy swoich portfeli, posiada kryptowaluty o łącznej wartości 172 miliardów dolarów, według danych DefiLlama.
CertiK nie odpowiedział natychmiast na prośbę DL News o komentarz.
Próby exploitów
Z danych podkreślonych przez Hexagate wynika, że haker próbował zastosować tak zwany atak „przywracania”, aby oszukać scentralizowane giełdy i pozwolić im wypłacić środki.
W tym celu haker stworzył inteligentną umowę zawierającą transakcję mającą na celu zdeponowanie środków na scentralizowanej giełdzie. Umowa została skonstruowana w taki sposób, że główna transakcja zakończy się sukcesem, ale depozyt zostanie zwrócony.
To oszukuje giełdę, myśląc, że użytkownik zdeponował środki, podczas gdy tego nie zrobił. Następnie haker żąda wypłaty z giełdy, pobierając kwotę fałszywego depozytu.
Dane Onchain wskazują, że 17 maja miało miejsce wielokrotne próby wykorzystania takiej umowy, gdy wpłata środków na Binance miała miejsce w BNB Chain.
Między 29 maja a 5 czerwca ten sam adres, a także inny, który był przez niego finansowany, podejmował podobne próby na OKX, BingX i Gate.io na BNB Chain, Arbitrum i Optimism.
Czy CertiK jest zaangażowany?
Chociaż CertiK po raz pierwszy publicznie ujawnił atak revert, nie ma dowodów na to, że brał udział w tych wcześniejszych atakach.
Każda funkcja inteligentnych kontraktów ma tak zwany skrót podpisu, po którym można ją zidentyfikować.
W przypadku umowy o wycofanie ataku skrót podpisu jest niedostępny, co oznacza, że nazwa funkcji nie jest publicznie znana, powiedział DL News badacz bezpieczeństwa, który chciał pozostać anonimowy.
Oznacza to, że nazwa funkcji ataku przywracającego jest znana w CertiK lub ktoś inny również użył dokładnie tej samej nazwy, stwierdził badacz.
Tim Craig jest korespondentem DeFi DL News z siedzibą w Edynburgu. Skontaktuj się z nim i wyślij mu wskazówki na adres tim@dlnews.com.