Antecedentes do incidente

Em junho de 2024, a comunidade de criptomoedas foi abalada por uma disputa repentina. Os protagonistas dessa disputa foram a conhecida empresa de segurança blockchain CertiK e a conhecida exchange de criptomoedas Kraken. Kraken recebeu um relatório de recompensa de bug em 9 de junho, dizendo que havia descoberto uma vulnerabilidade “extremamente crítica”. Embora a equipe tenha corrigido a vulnerabilidade em poucas horas, uma investigação aprofundada revelou que a vulnerabilidade foi explorada por três contas, resultando na retirada de quase US$ 3 milhões do tesouro de Kranken.

Kraken está tratando o assunto como uma questão criminal e planeja coordenar com as agências de aplicação da lei. A empresa de segurança CertiK afirmou mais tarde que havia descoberto uma falha de segurança no Kraken que poderia levar a perdas de centenas de milhões de dólares. Por um tempo, ambos os lados do confronto tiveram opiniões diferentes. Kraken considerou o comportamento de CertiK um "crime", enquanto CertiK exigia que Kraken "cessasse qualquer ameaça a hackers de chapéu branco".

Este incidente não só causou acaloradas discussões a nível técnico, mas também envolveu controvérsias jurídicas e morais. A BitJungle revisará de forma abrangente todo o incidente, conduzirá uma análise aprofundada dos detalhes técnicos da vulnerabilidade descoberta e explorará suas potenciais implicações legais e éticas.

Cronologia dos eventos de confronto

À medida que o incidente avançava, mais detalhes foram gradualmente revelados e, com base nisso, compilamos um cronograma detalhado do incidente:

1. Em 27 de maio, pesquisadores de segurança da CertiK testaram o Kraken e descobriram uma vulnerabilidade (embora a CertiK alegasse ter descoberto e explorado a vulnerabilidade do Kraken apenas em 5 de junho, as evidências na cadeia mostram que ele já havia dominado a vulnerabilidade).

2. 9 de junho: Kraken recebeu um relatório de recompensa de bug, alegando ter descoberto uma vulnerabilidade “extremamente séria”, mas não forneceu detalhes específicos.

3. A equipe de segurança da Kraken formou rapidamente uma equipe multifuncional para investigar a vulnerabilidade e descobriu as especificidades da vulnerabilidade, ou seja, sob certas condições, o invasor poderia aumentar o saldo da conta sem concluir o depósito.

4. A equipe de segurança da Kraken mitigou a vulnerabilidade em 47 minutos e a corrigiu totalmente em horas.

5. Kraken descobriu que 3 contas exploraram a vulnerabilidade. CertiK primeiro explorou a vulnerabilidade para obter US$ 4 em criptomoeda (teoricamente, gerar US$ 4 é suficiente para provar a existência da vulnerabilidade, e a vulnerabilidade foi avaliada como “crítica” pela Kraken. Isso significa que que, desde que os US$ 4 gerados sejam devolvidos, Kraken pode solicitar uma recompensa de US$ 100 a US$ 1,5 milhão).

6. Kraken investigou mais a fundo e descobriu que, além do endereço fornecido pela CertiK, a CertiK também usou brechas para obter ilegalmente quase 3 milhões de dólares americanos em fundos.

7. Kraken entrou em contato com a CertiK, solicitando que explicasse detalhadamente a atividade e devolvesse os fundos retirados da vulnerabilidade. No entanto, a CertiK rejeitou o pedido, dizendo que nenhum dinheiro seria devolvido a menos que a recompensa fosse paga no valor do dano que a vulnerabilidade pudesse ter causado. Mais tarde, a CertiK devolveu parte dos fundos, mas não todos.

8. Kraken emitiu um comunicado acusando a CertiK de ir além do escopo dos hackers de chapéu branco e acusando-a de chantagem.

9. A CertiK respondeu publicamente, dizendo que suas ações visavam melhorar a segurança da rede e divulgou um cronograma completo de testes e detalhes relacionados.

No entanto, membros da indústria levantaram evidências para questionar a autenticidade do cronograma anunciado pela CertiK, alegando que a CertiK pode já ter explorado a vulnerabilidade para transferir fundos durante um longo período de tempo.

10. Membros da indústria twittaram que a CertiK realizou testes semelhantes na OKX e na Coinbase para determinar se essas duas bolsas tinham a mesma vulnerabilidade que a Kraken. Além disso, o endereço relevante da CertiK interagiu com o contrato Tornado. Este endereço pode ter usado o serviço de mistura de moedas da Tornado para ocultar a origem e o destino dos fundos, contornando assim a supervisão e sanções legais. Este comportamento não é apenas um desafio legal, mas também aumenta ainda mais os riscos legais e as controvérsias éticas da CertiK neste incidente.

11. Depois que o incidente continuou a fermentar, a CertiK declarou recentemente que havia devolvido todos os fundos e que este incidente não envolveu qualquer perda de fundos reais dos usuários. Kraken respondeu para confirmar que todos os fundos roubados foram devolvidos.

Embora o incidente tenha chegado ao fim por enquanto, o progresso futuro ainda é desconhecido. Talvez eventualmente este assunto acabe com alguma forma de reconciliação. A seguir, BitJungle analisará em profundidade os detalhes técnicos deste ataque, revelará detalhadamente o princípio da vulnerabilidade e a pilha de chamadas de ataque e discutirá suas possíveis implicações legais e éticas.

Princípio de vulnerabilidade e processo de ataque

Hackeando a pilha de chamadas

O hacker implantou primeiro o contrato de ataque

0xe06A1966ADde5A37D9Dad97AA9D8cf669F970185

Em seguida, a função 0xa04a4c3b do contrato é chamada e outra função 0xb6852ff9 do contrato de ataque é chamada por meio da chamada de função de baixo nível.

Na função 0xb6852ff9, o invasor envia o endereço

0xa172342297f6e6d6e7fe5df752cbde0aa655e61c recarregou 200MATIC e, em seguida, acionou deliberadamente o erro de reversão.

Embora o evento de transferência interna tenha sido gerado, os fundos não chegaram de fato devido ao acionamento errado.

Quando um contrato usa envio, chamada de função de baixo nível, delegado ou chamada estática, se ocorrer uma exceção, eles retornarão falso como valor de retorno em vez de retornar a exceção para a função pai. Este mecanismo permite que as transações externas sejam bem-sucedidas, mas as transações internas falhem.

Posteriormente, o invasor até implantou um novo contrato e usou empréstimos flash Aave para realizar ataques de hacking e roubo em grande escala para obter ainda mais benefícios.

Através desta série de processos de ataque, eventualmente

Endereços como 0xa172342297f6e6d6e7fe5df752cbde0aa655e61c lucraram com o ataque várias vezes.

A causa raiz da vulnerabilidade do Kraken é que seu programa de back-end não conseguiu distinguir corretamente as falhas de transferência interna, levando ao julgamento errado dos falsos eventos de pagamento do invasor e à falha em acionar o monitoramento de anormalidades e alarmes em tempo hábil. Para evitar que incidentes semelhantes voltem a acontecer, recomenda-se que as bolsas melhorem os seus mecanismos de rastreio de transações. Medidas específicas incluem:

Distinguir estritamente entre transações internas e externas: garantir que o fracasso das transações internas não seja confundido com sucesso.

Fortalecer o mecanismo de tratamento de exceções: verificar e tratar rigorosamente todas as exceções.

Monitoramento e alarme em tempo real: Monitoramento em tempo real de transferências de pequenas quantias anormalmente grandes e frequentes e alarmes imediatos.

Auditorias regulares de segurança: conduza regularmente auditorias de segurança de contratos inteligentes e sistemas back-end para descobrir e reparar vulnerabilidades potenciais em tempo hábil.

Desafios legais, éticos e de segurança

O incidente despertou ampla atenção pública e debate comunitário, centrando-se principalmente nos seguintes aspectos:

Questões de ética profissional da CertiK: Como empresa de segurança, as operações de conformidade são cruciais. No entanto, a CertiK não atendeu totalmente aos padrões de conformidade ao lidar com fundos de clientes e divulgar vulnerabilidades. O seu acto de explorar autonomamente lacunas para transferir fundos foi considerado como tendo ultrapassado os limites da moralidade e da ética profissional. Embora se pretenda detectar e fortalecer a segurança da rede, a conformidade e os padrões éticos desta prática têm sido amplamente questionados.

Confiança da comunidade nas empresas de segurança: Incidentes como este têm um impacto negativo na confiança na indústria de segurança como um todo. Os utilizadores e investidores têm requisitos mais elevados em termos de independência, transparência e padrões éticos das empresas de segurança, na esperança de garantir a segurança dos seus bens e dados.

implicações legais

Do ponto de vista jurídico, o incidente pode envolver os seguintes pontos-chave:

Responsabilidade por Roubo e Acesso Não Autorizado: A CertiK e pesquisadores de segurança associados podem enfrentar acusações de roubo e acesso não autorizado. Se o seu comportamento for determinado como acesso ilegal e transferência de fundos, poderão enfrentar processos criminais ou civis, dependendo da investigação e determinação dos tribunais e agências reguladoras para confirmar se violaram leis e regulamentos relevantes.

Responsabilidade legal pela utilização do serviço de mistura de moedas do Tornado para ocultar o fluxo de fundos: Os endereços relevantes da CertiK interagiram com o contrato do Tornado, especialmente os endereços envolvidos foram encontrados na lista de sanções dos EUA. Se estas operações forem conduzidas dentro dos Estados Unidos, poderão envolver contornar as sanções dos EUA. Isso intensifica seus riscos legais e controvérsias éticas. A utilização do serviço de mistura de moedas da Tornado para ocultar o fluxo de fundos pode violar ainda mais a supervisão legal e as sanções. Este comportamento não é apenas um desafio à lei, mas também pode levar a graves consequências jurídicas, aumentando ainda mais os riscos legais e a ética da CertiK neste incidente. disputa.

Resumindo, o incidente não envolve apenas a reparação de vulnerabilidades técnicas e a devolução de fundos, mas também envolve questões importantes de responsabilidade legal, padrões éticos e regulamentações da indústria, o que teve um profundo impacto e alerta na comunidade de criptomoedas e no mundo. indústria de segurança.

SOBRE BIT JUNGLE

BitJungle é uma empresa de segurança blockchain dedicada a produtos e serviços de segurança, como proteção de segurança de ativos digitais, investigação de incidentes de segurança e recuperação de ativos digitais roubados; avaliação, controle de risco de lavagem de dinheiro, etc.

BitJungle tem rica experiência em pesquisa de segurança e ferramentas avançadas de análise e mineração de dados. Ela cooperou com a polícia na detecção de muitos casos importantes de roubo de segurança na indústria de blockchain, incluindo um único caso envolvendo mais de centenas de milhões de dólares. Com sua experiência profissional sênior, a BitJungle tem sido amplamente reconhecida e apoiada pela polícia em muitos lugares e pela cooperação na indústria de blockchain.

Os clientes atendidos estão localizados principalmente na China, Hong Kong, Canadá, Estados Unidos, Cingapura, Japão e outros países e regiões. A empresa atualmente possui escritórios em Hong Kong, Shenzhen, Xangai e Qingdao.

Digitalize o código QR abaixo para nos seguir e obter mais informações sobre blockchain. Se você tiver alguma necessidade de investigação de incidentes de segurança, recuperação de roubo de ativos digitais ou auditoria de segurança, entre em contato conosco através dos seguintes métodos:

E-mail oficial contact@bitjungle.io

Twitter oficial @bitjungle_team

Site oficial https://www.bitjungle.cn/