A exchange de criptomoedas Kraken e a empresa de segurança blockchain CertiK se envolveram em um confronto público nas redes sociais na noite passada por causa de uma série de graves violações de segurança.
Inicialmente, a CertiK descobriu uma série de vulnerabilidades críticas no Kraken decorrentes de mudanças recentes na experiência do usuário (UX) no Kraken que teriam cobrado contas dos clientes imediatamente antes de seus ativos serem liquidados e permitiriam que os clientes negociassem nos mercados de criptomoedas em tempo real. testei esse vetor de ataque específico.
Simplificando, esta vulnerabilidade permite que um invasor mal-intencionado inicie uma operação de depósito e receba fundos em sua conta sem concluir totalmente o depósito.
Depois que Kraken inspecionou a vulnerabilidade, ela foi imediatamente avaliada como Crítica e o problema foi mitigado 47 minutos depois pela equipe de especialistas da Kraken. Mais tarde, o diretor de segurança da Kraken, Nick Percoco, afirmou que o problema foi completamente resolvido e não aconteceria novamente.
Cronograma de ocorrência, fonte: CertiK oficial X
No entanto, algo interessante aconteceu. Nick Percoco apontou que CertiK roubou quase US$ 3 milhões de Kraken durante esta “verificação de segurança”, enquanto CertiK negou veementemente isso.
Chapéu branco ou chantagem?
A investigação post-mortem de Kraken descobriu que três contas exploraram a falha em poucos dias, incluindo uma conta vinculada à equipe da CertiK por meio de verificação de identidade (KYC), que usou a falha para aumentar o saldo de sua conta em US$ 4.
Teoricamente, gerar US$ 4 é suficiente para provar a existência da vulnerabilidade, e a vulnerabilidade é avaliada como "crítica" pela Kraken. Isso significa que, desde que os US$ 4 gerados sejam devolvidos, você pode solicitar ao Kraken de US$ 1 milhão a US$ 1,5 milhão. recompensa.
Recompensas do programa de recompensas por bugs Kraken. Fonte: Kraken
No entanto, o “investigador de segurança” optou por divulgar a vulnerabilidade a dois outros indivíduos com quem trabalhava, que exploraram a vulnerabilidade para gerar maiores quantias de fundos, acabando por retirar quase 3 milhões de dólares das suas contas Kraken.
Quando Kraken pediu à CertiK que fornecesse uma descrição detalhada da campanha, criasse uma prova de conceito para atividades na rede e providenciasse a devolução dos fundos retirados, a CertiK recusou e solicitou uma ligação com sua equipe de BD. Ao mesmo tempo, a CertiK também afirmou que não concordaria em devolver quaisquer fundos até que a Kraken fornecesse uma quantidade hipotética de possíveis perdas.
Neste ponto, o diretor de segurança da Kraken, Nick Percoco, classificou as ações da CertiK como extorsão em um tweet e considerou a perda de US$ 3 milhões como um “caso criminal” e está atualmente em coordenação com as autoridades para recuperar os fundos.
CertiK mais tarde defendeu suas ações em X.
Os testes do Kraken pela CertiK se concentraram em três questões: Os atores mal-intencionados podem falsificar transações de depósito em contas Kraken? Os atores mal-intencionados podem retirar fundos falsificados? Que controlos de risco e proteções de ativos podem ser desencadeados por grandes pedidos de levantamento? CertiK acredita que a exchange Kraken falhou em todos esses testes, indicando que o sistema de defesa profunda da Kraken foi comprometido em múltiplas frentes.
CertiK disse que devido a uma vulnerabilidade que permitiu que milhões de dólares fossem depositados em qualquer conta Kraken, Kraken não acionou nenhum alerta durante o período de teste de vários dias, e só depois que CertiK relatou oficialmente o incidente é que ele respondeu e bloqueou o conta de teste.
Quanto à perda de US$ 3 milhões da Kraken, a CertiK afirma que a Kraken ameaçou os funcionários da empresa e que o valor total dos fundos que a Kraken solicitou para devolver “não corresponde” à criptomoeda que roubou. Ao mesmo tempo, a CertiK divulgou todos os endereços de depósito e afirmou que transferiria os fundos existentes para contas que Kraken pudesse acessar com base nos registros.
A fofoca da comunidade é ainda mais emocionante
Esta empresa de segurança que foi criticada teve problemas novamente e a comunidade de criptografia rapidamente tirou vantagem disso.
Meir Dolev, fundador da Cyvers.AI, disse: “De acordo com a análise da rede, 26 dias antes do início do incidente Kraken, houve uma atividade de retirada semelhante na Coinbase com o mesmo hash de assinatura. também houve uma atividade de retirada semelhante na rede Polygon. Houve uma transferência usando o mesmo hash de assinatura."
A Certik afirmou anteriormente ter descoberto e explorado a vulnerabilidade do Kraken em 5 de junho, mas as evidências na cadeia parecem indicar que ela pode ter estado ciente da vulnerabilidade e realizado ações semelhantes várias vezes. Especialistas da indústria questionam se o cronograma anunciado pela Certik é verdadeiro e se ela já explorou a vulnerabilidade para transferir fundos durante um longo período de tempo. A descoberta sem dúvida aumentou as questões sobre a integridade da Certik.
Além disso, como empresa de segurança, a segurança da CertiK também está sendo questionada.
Adam Cochran, da Synthetix, disse: "A CertiK é um criminoso declarado cujo comportamento se desviou completamente da ética profissional de uma empresa de segurança. Dado que os projetos que a CertiK auditou foram hackeados repetidamente, como a empresa pode ainda existir hoje?"
Nas horas que se seguiram, a Synthetix mais uma vez levantou sérias questões sobre o profissionalismo e a credibilidade da CertiK. “Os auditores de segurança da CertiK aproveitaram sua posição para transferir e vender ativos por meio do Tornado Cash sancionado e outros canais. O padrão de comportamento é semelhante ao do grupo de hackers Lazarus.”
Foi revelado que os auditores de segurança da CertiK não apenas movimentaram ativos por meio do Tornado Cash, mas também despejaram ativos por meio do ChangeNOW, que é exatamente a mesma prática comum depois que o grupo de hackers Lazarus comprometeu o protocolo de criptografia. Alguns analistas disseram que o Lazarus invadiu mais protocolos de auditoria da Certik do que qualquer outro protocolo, levantando questões sobre se a Certik já havia sido invadida por hackers.
Embora não esteja claro se toda a empresa CertiK está envolvida, levanta questões sobre se a equipe de pesquisa de segurança da Certik foi “comprometida”.
Pessoas relevantes apontaram que, dado que a organização hacker norte-coreana pediu aos agentes que usassem protocolos DeFi para encontrar empregos, eles também "conspiraram" com os auditores da CertiK. Caso contrário, é difícil explicar por que uma empresa americana com muitos investidores conhecidos? extorquiria transações e violaria as sanções dos EUA sobre acordos de lavagem de dinheiro.
Chen Jian, da Puffer Finance, disse: "Um ex-funcionário revelou que a alta administração da CertiK prestava muita atenção aos lucros e tinha desvios nos valores. A empresa certa vez emitiu tokens e depois os abandonou, causando perdas aos investidores. Recomenda-se que as partes do projeto escolha cuidadosamente a CertiK para auditorias de segurança." Chen Jian acredita que a CertiK basicamente se tornou uma “empresa de estamparia envolta em uma auréola e cobrando taxas caras”. Os projetos auditados experimentaram repetidamente problemas de segurança.
Além disso, foi revelado que “alguns auditores internos da CertiK vazaram informações confidenciais da empresa e detalhes de auditoria”.
Em relação aos crimes da CertiK, muitos membros da indústria criticaram a CertiK como "nojenta", "imoral", "irresponsável", "delirante" e "inútil". Um grande número de membros da comunidade de criptografia juntou-se a este ataque verbal à CertiK. Entre eles, o ex-funcionário da OKX, Zi Ye, disse: “Alguém chutou a placa de ferro”.
DegenBing.eth | Buji DAO disse sem rodeios que as pessoas que elogiam o CertiK são estúpidas ou más: "Pessoal, apressem-se e preparem a pipoca, o acompanhamento deve ser emocionante." O usuário da comunidade @tayvano_ também ridicularizou a CertiK: “Não há absolutamente nenhuma desculpa para o comportamento da CertiK e não pode ser considerado um teste de chapéu branco legítimo” e pediu à CertiK que “saisse”.
CrertiK, só resta "calúnia do mundo"?
Pode-se perceber pela reação da comunidade que CertiK, protagonista deste incidente, não é a primeira vez que se envolve em polêmica. CertiK nasceu em 2017 e já foi um projeto estrela na área de segurança Web3. Seus fundadores são Shao Zhong, presidente do Departamento de Ciência da Computação da Universidade de Yale e professor titular, e Gu Ronghui, professor do Departamento de Ciência da Computação da Universidade de Columbia, ambos acadêmicos de destaque na área de segurança.
Em 2021, a CertiK começou a se desenvolver rapidamente e recebeu cinco financiamentos em menos de um ano, incluindo os investidores mais luxuosos, como Goldman Sachs, Tiger, SoftBank, Sequoia e Hillhouse. Naquele ano, todas as empresas DeFi auditadas em segurança no CoinMarketCa Entre as. projetos, a CertiK tem uma participação de mercado de 70%, superando em muito seus pares. Seus clientes cooperativos incluem projetos líderes como Aave, Polygon, Yearn Finance e Chiliz.
Mas por outro lado, o CertiK tem enfrentado polêmica desde o seu lançamento. A comunidade tem questionado que o CertiK ocupa a maior parte do mercado na área de segurança Web3, mas não pode garantir a segurança dos projetos que administra. Algumas pessoas até reclamaram: "Nem todas as auditorias CertiK desapareceram, mas quase todas as que desapareceram são auditorias CertiK, e todos gostam de afirmar que fizeram upgrade, mas os resultados reais são conhecidos por todos, de modo que" Auditoria CertiK " quase se tornou um guia de proteção contra raios.
Em abril de 2023, Geek Park entrevistou o CEO da CertiK, Gu Ronghui, que respondeu a essas polêmicas com a frase "famoso em todo o mundo, caluniado em todo o mundo". Em relação aos problemas frequentes de segurança, o CertiK os considera "situações inevitáveis" e responde publicando relatórios de auditoria de segurança e permitindo que a comunidade conduza inspeções espontâneas. Gu Ronghui disse uma vez que não quer que o CertiK se torne um "capítulo" ou um anti-roubo. " Certificado".
Pouco depois da publicação do relatório do Geek Park entrevistando a CertiK, aproximadamente US$ 1,82 milhão foram roubados do Merlin, uma plataforma de negociação descentralizada baseada no zkSync. Antes disso, Merlin havia acabado de passar na auditoria da CertiK. desenvolvedores."
Um mês depois, o projeto DeFi Swaprum fugiu semanas depois de ser auditado pela CertiK, arrecadando um total de US$ 3 milhões em fundos de clientes. A comunidade apontou o dedo para CertiK, dizendo que sancionava “mais uma conspiração”.
Além de vários acidentes, a comunidade também questionou as barreiras técnicas da CertiK.
CertiK usa verificação formal e colaboração de tecnologia de IA para fornecer serviços de auditoria de segurança de blockchain ponta a ponta. Simplificando, ele usa uma combinação de verificação formal e verificação manual para verificar automaticamente problemas de código-fonte usando grandes modelos de linguagem, conduzir ataques simulados e, em seguida, realizar ataques simulados. Os engenheiros de segurança fornecerão feedback sobre as questões levantadas.
O fundador está confiante em seu mecanismo: “Mesmo que nossa tecnologia não se desenvolva, contanto que possamos ver mais código e mais pessoas anotá-lo, nosso mecanismo ficará cada vez melhor. maior, e teremos cada vez mais clientes, o que tornará o motor cada vez melhor”.
Além do fato de que os resultados da auditoria não são confiáveis, a história sombria da CertiK também inclui sua experiência em emissão de moeda, uma vez que a CertiK lançou a cadeia Certik e seu token CTK em 2021, mas agora a introdução de seu token CTK não pode mais ser encontrada. o site oficial da Certik.
Entende-se que a CTK teve duas rodadas de colocação privada naquela época, uma com cota de 29% e preço de US$ 0,77 e uma segunda rodada com cota de 9% e preço de US$ 1,9; Depois que o CTK entrou no ar, ele iniciou uma tendência de queda após uma breve cobrança. No momento da escrita, seu preço era de US$ 0,8.
Depois de se envolver na controvérsia da “chantagem de Kraken”, embora Kraken tenha vulnerabilidades, a atitude da comunidade é surpreendentemente consistente, e eles relataram os feitos anteriores de CertiK. De um projeto estrela no campo de segurança da Web3, com uma linha de financiamento luxuosa e uma avaliação de US$ 2 bilhões, a estar envolvido em diversas controvérsias e ser considerado um "rótulo para evitar raios", a experiência da CertiK nos últimos anos fez a comunidade suspirar. e também proporcionou oportunidades para os desenvolvedores de projetos que ainda estão em cena.