Bug-ul pe care Kraken a spus că l-a corectat a fost folosit pentru a exploata alte schimburi centralizate încă de luna trecută, potrivit mai multor experți în securitate cripto.

Aceasta este cea mai recentă dezvoltare din saga a doi jucători majori de cripto, Kraken din SUA și auditorul CertiK.

Miercuri, Kraken a declarat că a corectat o eroare „critică” care a permis retragerea eronată a milioane de dolari în criptomonede din bursa din SUA.

CertiK a fost criticat după ce a recunoscut că se află în spatele exploatării acelui bug. Firma a retras 3 milioane de dolari de la Kraken în mai multe zile la începutul lunii iunie.

După un dus-întors public, CertiK a returnat toate fondurile pe care le-a luat și a numit acțiunile sale o operațiune de pălărie albă, ceea ce înseamnă că au acționat în mod aparent ca hackeri etici cu intenția de a identifica și remedia vulnerabilitățile de securitate, mai degrabă decât de a le exploata în scopuri rău intenționate.

Înregistrările Onchain identificate pentru prima dată de platforma de securitate Hexagate și confirmate pentru DL News de mai mulți alți cercetători în domeniul securității, arată că un hacker a încercat să exploateze alte schimburi cripto – Binance, OKX, BingX și Gate.io – folosind aceeași eroare încă din 17 mai.

Aceste încercări au avut loc cu trei săptămâni înainte ca CertiK să spună că a găsit eroarea pe Kraken pe 5 iunie.

„Nu avem nicio dovadă că aceste schimburi au fost afectate”, a postat Hexagate pe X. „Am urmărit doar dovezi onchain pentru activități similare.”

Bursele de criptomonede centralizate dețin o cantitate gigantesca de criptomonede în numele clienților lor. Primele cinci schimburi cripto care și-au dezvăluit public adresele portofelului dețin o valoare combinată de 172 de miliarde de dolari, conform datelor DefiLlama.

CertiK nu a răspuns imediat solicitării de comentarii a DL News.

Tentative de exploatare

Înregistrările evidențiate de Hexagate arată că un hacker a încercat să folosească un așa-numit atac „return” pentru a păcăli schimburile centralizate să le permită să retragă fonduri.

Pentru a face acest lucru, hackerul a creat un contract inteligent care conține o tranzacție pentru a depune fonduri într-un schimb centralizat. Contractul este conceput astfel încât tranzacția principală să reușească, dar depozitul se revine.

Acest lucru păcălește bursa să creadă că un utilizator a depus fonduri atunci când nu a făcut-o. Hackerul solicită apoi o retragere din schimb, debitând suma falsă a depozitului.

Înregistrările Onchain arată mai multe încercări de a folosi un astfel de contract atunci când depunerea fondurilor către Binance a avut loc pe BNB Chain pe 17 mai.

Între 29 mai și 5 iunie, aceeași adresă, precum și o alta care a fost finanțată de aceasta, a făcut încercări similare pe OKX, BingX și Gate.io pe BNB Chain, Arbitrum și Optimism.

Este implicat CertiK?

Deși CertiK a dezvăluit pentru prima dată atacul de retur în mod public, nu există nicio dovadă că a fost implicat în acele atacuri anterioare.

Funcțiile de contracte inteligente au fiecare un așa-numit hash de semnătură prin care pot fi identificate.

În cazul contractului de atac invers, hash-ul semnăturii nu este disponibil, ceea ce înseamnă că numele funcției nu este cunoscut public, a declarat pentru DL News un cercetător de securitate care a dorit să rămână anonim.

Aceasta înseamnă că numele funcției pentru atacul de retur este cunoscut pe CertiK sau altcineva a folosit exact același nume, a spus cercetătorul.

Tim Craig este corespondentul DeFi al DL News din Edinburgh. Luați legătura cu el cu sfaturi la tim@dlnews.com.