CertiK выявляет критические уязвимости в бирже Kraken и призывает к немедленным действиям

Согласно отчету CertiK: CertiK обнаружила ряд критических уязвимостей в обменных системах Kraken, которые потенциально могут привести к убыткам в сотни миллионов долларов. Эти выводы были сделаны после углубленного расследования депозитной системы и протоколов безопасности Kraken.

- Критические уязвимости: CertiK выявила несколько уязвимостей в системах Kraken, включая неспособность различать различные статусы внутренних переводов в депозитной системе.
- Серьезные нарушения безопасности: в ходе тщательного тестирования CertiK обнаружила, что защита Kraken была скомпрометирована по нескольким направлениям. Ключевые вопросы тестирования заключались в том, может ли злоумышленник фальсифицировать депозитные транзакции, выводить сфабрикованные средства и уклоняться от контроля рисков при отправке крупных запросов на снятие средств.
 
Результаты тестирования:

- Неудачные тесты безопасности: Kraken провалил все тесты, проведенные CertiK, обнаружив серьезные недостатки:
 - Фальсификация депозитов: злоумышленники могут незаметно внести миллионы долларов на любой счет Kraken.
 - Вывод сфабрикованных средств: сфабрикованные средства на сумму более 1 миллиона долларов могут быть выведены и конвертированы в действительные криптовалюты.
 - Отсутствие оповещений: в течение многодневного периода тестирования не возникало ни одного оповещения системы безопасности. Kraken отреагировал и заблокировал тестовые аккаунты только через несколько дней после официального сообщения об уязвимостях.

Ответ Кракена:

- Критическая классификация: команда безопасности Kraken классифицировала уязвимости как критические, самый серьезный уровень классификации на бирже.
- Первоначальные усилия по устранению: после того, как об уязвимостях было сообщено, Kraken предпринял шаги по их устранению.
- Спорная реакция: команда безопасности Kraken предположительно угрожала отдельным сотрудникам CertiK выплатить несовпадающую сумму в криптовалюте в необоснованные сроки, не предоставив соответствующие адреса погашения.

Публичное раскрытие:

В свете этих проблем CertiK решила обнародовать результаты, чтобы обеспечить прозрачность и безопасность пользователей. Сообщество Web3 должно знать об этих уязвимостях и потенциальных рисках.

Заявление Сертик: 
«В духе прозрачности и нашей приверженности сообществу Web3 мы становимся публичными, чтобы защитить безопасность всех пользователей. Мы призываем Kraken прекратить любые угрозы против хакеров. Вместе мы можем противостоять рискам и защитить будущее Web3».

Выводы CertiK подчеркивают значительные уязвимости безопасности в системах обмена Kraken, которые представляют потенциальный риск для миллионов долларов средств пользователей. По мере развития ситуации сообщество и заинтересованные стороны должны сохранять бдительность и расставлять приоритеты в отношении мер безопасности для защиты целостности экосистемы Web3.