CertiK, firma de securitate a contractelor inteligente, continuă să susțină că acțiunile sale împotriva bursei Kraken au fost etice și că a încercat să estimeze întregul spectru al defectelor de securitate. Testerii susțin, de asemenea, că au returnat toate fondurile în natură și nu l-au estorcat pe Kraken.
Echipa CertiK a dezvoltat o nouă declarație pentru a respinge unele afirmații anterioare Kraken. Testerii au respins cererile de recompensă, declarând că prioritatea lor este să remedieze vulnerabilitatea de a putea imprima fonduri într-un cont.
Citește: Kraken recuperează 3 milioane de dolari pe măsură ce criticile cresc împotriva Certik
Toate fondurile retrase au venit din portofelele reci ale Kraken și niciun cont de utilizator nu a fost afectat. Monedele au fost returnate pe baza calculelor proprii și a înregistrărilor tranzacțiilor CertiK.
Întrebări și răspunsuri la operațiunile recente CertiK-Kraken: 1. A pierdut vreun utilizator real fonduri? Nu. Crypto-urile au fost bătute din aer și niciun bun al utilizatorului Kraken nu a fost implicat direct în activitățile noastre de cercetare.2. Am refuzat să returnăm fondurile?Nu. În comunicarea noastră cu...
— CertiK (@CertiK) 20 iunie 2024
Cea mai controversată acțiune a CertiK a inclus înregistrările privind trimiterea unor fonduri către Tornado Cash. Mixerul de monede s-a confruntat cu sancțiuni anterioare din partea Departamentului de Trezorerie al SUA, care a interzis persoanelor cu domiciliul în SUA să interacționeze cu acesta.
CertiK este foarte conștient de utilizarea Tornado Cash și a inclus transferurile ca dovadă a exploatării sale. Anterior, CertiK a urmărit și utilizarea Tornado Cash ca parte a exploit-urilor mai vechi. Unul dintre obiectivele principale ale Certik rămâne auditul contractelor inteligente, care conțin adesea defecte logice similare care conduc la crearea nelimitată de token-uri.
Abordarea CertiK cu privire la hackingul etic i-a deranjat pe observatori, deoarece sume mici au fost trimise direct către Tornado Cash pentru a testa exploitul. Unii pași ai procesului de testare Kraken au fost divulgați pe rețelele sociale înainte ca Kraken să-l notifice în sfârșit cu privire la dimensiunea reală a exploit-ului.
Problema unei recompense pentru erori nu a fost discutată, dar CertiK continuă să susțină că nu a avut nevoie de o recompensă pentru a returna fondurile. Până acum, echipa de securitate a lui Kraken nu a anunțat nicio recompensă pentru CertiK.
Kraken recunoaște că a primit toate fondurile
CertiK a generat solduri pe platforma centralizată Kraken și a efectuat retrageri în numele acelor conturi.
Afirmațiile Kraken că CertiK a fost inexact în returnările sale au fost cele mai controversate. Cu toate acestea, acest lucru a fost infirmat câteva zile mai târziu. Ofițerul șef de securitate al Kraken, Nick Percoco, a anunțat că fondurile au fost returnate integral minus comisioanele de tranzacție.
Actualizare: Acum putem confirma că fondurile au fost returnate (minus o sumă mică pierdută din cauza taxelor). https://t.co/cHkjPt3m2A
— Nick Percoco (@c7five) 20 iunie 2024
Contabilitatea CertiK a raportat retrageri numai de ETH, USDT și XMR, în timp ce Kraken a susținut, de asemenea, că 155.818,44 MATIC au fost de asemenea retrase și amestecate. Retragerile au fost estimate la aproximativ 3 milioane de dolari, deși Certik a folosit o sumă mică pentru a demonstra exploitul.
O analiză ulterioară a exploit-ului a arătat că CertiK a generat solduri MATIC inexistente, dar tranzacțiile au eșuat și niciun fond nu a părăsit portofelele Kraken. MATIC generat a fost doar un exploit intern care nu a dus la transferul de jetoane Polygon reale.
#Certik : La prima vedere, se pare că exploitul lui Certik constă în:1. Crearea unui contract și depunerea de fonduri în acesta2. Generarea evenimentului LogFeeTransfer()3. @krakenfx scanează LogFeeTransfer() pe adresele sale de depozit și nu pare să verifice dacă MATIC sunt într-adevăr acolo pic.twitter.com/QI4bdXJdbz
— Naïm Boubziz (@BrutalTrade) 20 iunie 2024
În unele cazuri, prezența fondurilor poate fi simulată, deoarece alte protocoale au fost atacate cu împrumuturi flash.
CertiK a afirmat că exploit-urile au revenit în iunie, cu peste 30 de milioane de dolari preluați din aplicații și protocoale. Numărul nu include atacurile împotriva portofelelor individuale.
Tornado Cash este încă operațional la ani după sancțiuni
Mixerul Tornado Cash încă facilitează exploatările, deoarece fondurile nu pot fi urmărite după trecerea prin mixer. Chiar și după plasarea pe lista neagră a portofelelor și a adreselor, nimic nu îi împiedică pe hackeri să amestece ETH și să-l trimită către noi portofele necunoscute.
Citește și: Grupul din spatele procesului Tornado Cash pierde în fața Trezoreriei SUA
Din 2022, Tornado Cash a avut resurse limitate, dar serviciul este încă operațional.
Fondatorul Tornado Cash, Alexey Pertsev, a primit o sentință în mai 2024, cu potențiali ani în spatele gratiilor. Cu toate acestea, sancțiunile și interdicțiile nu împiedică pe nimeni să folosească mixerul, ceea ce nu afectează jurisdicțiile din afara SUA.
Unele monede, cum ar fi USDC, au trecut pe lista neagră toate contractele Tornado Cash. Orice fonduri trimise la contract nu pot fi recuperate din nou. USDC este, de asemenea, cunoscut pentru capacitatea sa centralizată de a îngheța monede. Pentru Kraken, capacitatea de a se retrage la o adresă de contract Tornado Cash a fost, de asemenea, o vulnerabilitate majoră. Majoritatea producătorilor de jetoane aleg să nu exercite controlul asupra jetoanelor, lăsându-le vulnerabile la furt și irecuperabile prin amestecare.
Reportaj Cryptopolitan de Hristina Vasileva