Firma de securitate Blockchain CertiK a confirmat că se află în spatele unui exploat de erori care a dus la o retragere neautorizată de jetoane în valoare de 3 milioane de dolari de la Kraken.
Firma de securitate blockchain, cu sediul central din New York, CertiK, a recunoscut că se află în spatele unui exploat de erori care a dus la o retragere neautorizată a jetoanelor în valoare de 3 milioane de dolari din schimbul de criptograf Kraken.
Într-un thread din 19 iunie pe X, CertiK a dezvăluit că a identificat o serie de „vulnerabilitati critice” în schimbul Kraken, care ar putea „conduce la pierderi de sute de milioane de dolari”.
CertiK a identificat recent o serie de vulnerabilități critice în schimbul @krakenfx, care ar putea duce la pierderi de sute de milioane de dolari. JZkMXj2ZCD
— CertiK (@CertiK) 19 iunie 2024
Potrivit CertiK, problema a fost identificată pentru prima dată pe 5 iunie, iar Kraken a eșuat la mai multe teste, indicând că sistemul de apărare în profunzime al schimbului a fost „compromis pe mai multe fronturi”. Firma a remarcat în special că a reușit să ocolească controalele riscului de retragere ale bursei fără a declanșa alerte.
„O cantitate imensă de criptomonede fabricate (în valoare de peste 1 milion de dolari SUA) poate fi retrasă din cont și convertită în cripto-uri valide. Mai rău încă, nu au fost declanșate alerte în timpul perioadei de testare de mai multe zile. Kraken a răspuns și a blocat conturile de testare doar câteva zile după ce am raportat oficial incidentul.”
CertiK
S-ar putea să vă placă și: Șeful de securitate Kraken dezvăluie că schimbarea UX a dus la o exploatare a erorilor de 3 milioane USD
La descoperirea defectelor, CertiK susține că l-a informat pe Kraken, a cărui echipă de securitate a clasificat problema drept „critică”. Cu toate acestea, după ce exploit-ul a fost identificat și remediat, CertiK susține că echipa de operațiuni de securitate a Kraken a „amenințat” angajații individuali CertiK, cerând rambursarea unei „cantități nepotrivite de cripto într-un timp nerezonabil chiar și fără a furniza adrese de rambursare”.
CertiK l-a îndemnat pe Kraken să „înceteze orice amenințări împotriva hackerilor whitehat”, afirmându-și angajamentul față de comunitatea web3 „în spiritul transparenței”. Cu toate acestea, incidentul a stârnit controverse și scepticism în cadrul comunității blockchain, deoarece cercetătorii blockchain au evidențiat discrepanțe în cronologia și afirmațiile CertiK.
HAHAHHA, CLOWNI, NU există absolut niciun univers în care aceasta să fie „cercetare în domeniul securității” Kraken are o răbdare incredibilă pentru că nu a numit asta în mod clar ceea ce este foarte clar: un furt de milioane de dolari cu o latură de extorcare.
— Tay 💖 (@tayvano_) 19 iunie 2024
După cum a menționat directorul de tehnologie Cyvers, Meir Dolev, pe contul său X, o adresă asociată cu CertiK a început activitate suspectă în mai multe rețele blockchain cu săptămâni înainte ca incidentul Kraken să fie raportat pentru prima dată, ridicând întrebări cu privire la cronologia oferită de CertiK.
În urma incidentului @krakenfx, o activitate similară a început pe bază acum 26 de zile!! Același hash de semnătură este folosit și pe Polygon acum 14 zile. Deci, ar trebui să credem cronologia Cetik că a găsit vulnerabilitatea abia pe 5 iunie?@tayvano_ pic.twitter.com/cvAnVrTg67
— Meir Dolev (@Meir_Dv) 19 iunie 2024
Într-o postare ulterioară sub thread-ul CertiK, directorul Coinbase Conor Grogan a subliniat că adresele asociate cu CertiK au trimis o parte din cripto-ul retras către Tornado Cash, un serviciu de mixare sancționat de Biroul de Control al Activelor Străine (OFAC) al Departamentului Trezoreriei din SUA. pentru facilitarea de aproximativ 7 miliarde de dolari în spălarea criptografică din 2019.
Rapoartele susțin, de asemenea, că adresele asociate CertiK au trimis părți din cripto-ul retras la ChangeNOW, un schimb de criptomonede fără custodie. Până la momentul presării, CertiK nu a făcut declarații publice despre motivul pentru care a interacționat cu Tornado Cash și ChangeNOW, deși susține că a returnat toate jetoanele retrase către Kraken.
Citiți mai multe: Telegram respinge afirmația de risc de securitate de descărcare automată a CertiK
