CertiK Identifies Critical Vulnerabilities in Kraken Exchange, Urges Immediate Action

Binance News · 2024-06-20T08:52:05.000Z

According to a CertiK Report: CertiK has uncovered a series of critical vulnerabilities in Kraken's exchange systems that could potentially lead to hundreds of millions of dollars in losses. These findings were made following an in-depth investigation into Kraken's deposit system and security protocols. - Critical Vulnerabilities: CertiK identified several vulnerabilities within Kraken’s systems, including a failure to differentiate between different internal transfer statuses in the deposit system. - Major Security Breaches: Through rigorous testing, CertiK found that Kraken’s defences were compromised on multiple fronts. Key testing questions included whether a malicious actor could fabricate deposit transactions, withdraw fabricated funds, and evade risk controls when making large withdrawal requests. Testing Results: - Failed Security Tests: Kraken failed all tests undertaken by CertiK, revealing severe weaknesses: - Fabricating Deposits: Malicious actors could deposit millions of dollars into any Kraken account without detection. - Withdrawing Fabricated Funds: Fabricated funds worth over $1 million could be withdrawn and converted into valid cryptocurrencies. - Lack of Alerts: No security alerts were triggered throughout the multi-day testing period. Kraken only responded and locked test accounts days after the vulnerabilities were officially reported. Kraken’s Response: - Critical Classification: Kraken's security team classified the vulnerabilities as Critical, the most serious classification level within the exchange. - Initial Remediation Efforts: After the vulnerabilities were reported, Kraken took steps to address and fix them. - Controversial Reaction: Kraken’s security team allegedly threatened individual CertiK employees to repay a mismatched amount of cryptocurrency within an unreasonable timeframe, without providing appropriate repayment addresses. Public Disclosure: In light of these issues, CertiK has decided to go public with the findings to ensure transparency and user security. The Web3 community needs to be aware of these vulnerabilities and the potential risks posed. CertiK Statement: "In the spirit of transparency and our commitment to the Web3 community, we are going public to protect all users' security. We urge Kraken to cease any threats against whitehat hackers. Together, we can face risks and safeguard the future of Web3." CertiK’s findings highlight significant security vulnerabilities within Kraken’s exchange systems, posing a potential risk to millions of dollars in user funds. As the situation unfolds, the community and stakeholders must stay vigilant and prioritize security measures to protect the integrity of the Web3 ecosystem.

De acordo com um relatório da CertiK: A CertiK descobriu uma série de vulnerabilidades críticas nos sistemas de câmbio da Kraken que podem potencialmente levar a centenas de milhões de dólares em perdas. Essas descobertas foram feitas após uma investigação aprofundada do sistema de depósito e dos protocolos de segurança da Kraken.
- Vulnerabilidades Críticas: A CertiK identificou várias vulnerabilidades nos sistemas da Kraken, incluindo uma falha na diferenciação entre diferentes status de transferência interna no sistema de depósito.
- Principais violações de segurança: Através de testes rigorosos, a CertiK descobriu que as defesas do Kraken foram comprometidas em diversas frentes. As principais questões de teste incluíam se um ator mal-intencionado poderia fabricar transações de depósito, sacar fundos fabricados e escapar dos controles de risco ao fazer grandes solicitações de saque.
 
Resultados do teste:
- Falha nos testes de segurança: Kraken falhou em todos os testes realizados pela CertiK, revelando graves fraquezas:
 - Fabricação de Depósitos: Atores maliciosos podem depositar milhões de dólares em qualquer conta Kraken sem serem detectados.
 - Retirada de Fundos Fabricados: Fundos fabricados no valor de mais de US$ 1 milhão podem ser sacados e convertidos em criptomoedas válidas.
 - Falta de alertas: nenhum alerta de segurança foi acionado durante o período de testes de vários dias. Kraken só respondeu e bloqueou contas de teste dias depois que as vulnerabilidades foram oficialmente relatadas.
Resposta de Kraken:
- Classificação Crítica: A equipe de segurança da Kraken classificou as vulnerabilidades como Críticas, o nível de classificação mais grave dentro da exchange.
- Esforços iniciais de correção: Depois que as vulnerabilidades foram relatadas, a Kraken tomou medidas para resolvê-las.
- Reação controversa: a equipe de segurança da Kraken supostamente ameaçou funcionários individuais da CertiK a reembolsar uma quantia incompatível de criptomoeda dentro de um prazo não razoável, sem fornecer endereços de reembolso apropriados.
Divulgação Pública:
À luz destas questões, a CertiK decidiu tornar públicas as conclusões para garantir a transparência e a segurança do utilizador. A comunidade Web3 precisa estar ciente dessas vulnerabilidades e dos riscos potenciais apresentados.
Declaração CertiK: 
"No espírito de transparência e no nosso compromisso com a comunidade Web3, estamos nos tornando públicos para proteger a segurança de todos os usuários. Instamos a Kraken a cessar quaisquer ameaças contra hackers de chapéu branco. Juntos, podemos enfrentar riscos e salvaguardar o futuro da Web3."
As descobertas da CertiK destacam vulnerabilidades de segurança significativas nos sistemas de exchange da Kraken, representando um risco potencial para milhões de dólares em fundos de usuários. À medida que a situação evolui, a comunidade e as partes interessadas devem permanecer vigilantes e priorizar medidas de segurança para proteger a integridade do ecossistema Web3.

Últimas Notícias