Фирма CertiK, занимающаяся безопасностью блокчейнов, подтвердила, что она стоит за уязвимостью, которая привела к несанкционированному выводу токенов на сумму 3 миллиона долларов из Kraken.

Компания CertiK, занимающаяся безопасностью блокчейнов со штаб-квартирой в Нью-Йорке, призналась, что стоит за уязвимостью, которая привела к несанкционированному выводу токенов на сумму 3 миллиона долларов с криптобиржи Kraken.

В теме X от 19 июня компания CertiK сообщила, что обнаружила ряд «критических уязвимостей» в бирже Kraken, которые «потенциально могут привести к убыткам в сотни миллионов долларов».

CertiK недавно выявила ряд критических уязвимостей на бирже @krakenfx, которые потенциально могут привести к убыткам в сотни миллионов долларов. Начиная с обнаружения в депозитной системе @krakenfx, где она может не различать различные внутренние… pic.twitter.com/ JZkMXj2ZCD

– CertiK (@CertiK) 19 июня 2024 г.

По данным CertiK, проблема была впервые выявлена ​​5 июня, и Kraken не прошел несколько тестов, что указывает на то, что система глубокоэшелонированной защиты биржи «скомпрометирована по нескольким направлениям». Фирма особо отметила, что ей удалось обойти меры контроля биржи за рисками вывода средств, не вызвав при этом никаких предупреждений.

«Огромное количество сфабрикованной криптовалюты (стоимостью более 1 миллиона долларов США) может быть снято со счета и конвертировано в действительные криптовалюты. Хуже того, в течение многодневного периода тестирования не было активировано ни одного оповещения. Kraken отреагировал и заблокировал тестовые аккаунты только через несколько дней после того, как мы официально сообщили об инциденте».

СертиК

Вам также может быть интересно: Начальник службы безопасности Kraken сообщает, что изменение пользовательского интерфейса привело к использованию уязвимости на 3 миллиона долларов

Обнаружив недостатки, CertiK утверждает, что проинформировала Kraken, чья служба безопасности классифицировала проблему как «критическую». Однако после того, как эксплойт был обнаружен и исправлен, CertiK утверждает, что операционная группа безопасности Kraken «угрожала» отдельным сотрудникам CertiK, требуя выплаты «несоответствующего количества криптовалюты в необоснованные сроки, даже без указания адресов погашения».

CertiK призвала Kraken «прекратить любые угрозы в адрес белых хакеров», заявив о своей приверженности сообществу web3 «в духе прозрачности». Однако этот инцидент вызвал споры и скептицизм в сообществе блокчейнов, поскольку исследователи блокчейна подчеркнули несоответствия в сроках и заявлениях CertiK.

ХАХАХА, ВЫ, Чёртовы КЛОУНЫ. Нет абсолютно НИКАКОЙ вселенной, где бы это было «белое исследование безопасности». Кракен невероятно терпелив, чтобы не называть это прямо так, как оно и есть: кража на несколько миллионов долларов с примесью вымогательства.

— Тай 💖 (@tayvano_) 19 июня 2024 г.

Как отметил в своем аккаунте X технический директор Cyvers Меир Долев, адрес, связанный с CertiK, начал подозрительную активность в нескольких сетях блокчейнов за несколько недель до первого сообщения об инциденте с Kraken, что вызывает вопросы о сроках, предоставленных CertiK.

После инцидента @krakenfx аналогичная активность началась на базе 26 дней назад!! Тот же хэш подписи использовался на Polygon 14 дней назад. Так стоит ли верить хронологии Cetik, что они нашли уязвимость только 5 июня?@tayvano_ pic.twitter.com/cvAnVrTg67

– Меир Долев (@Meir_Dv) 19 июня 2024 г.

В последующем сообщении в теме CertiK директор Coinbase Конор Гроган отметил, что адреса, связанные с CertiK, отправили часть выведенной криптовалюты в Tornado Cash, службу микширования, на которую наложена санкция Управления по контролю за иностранными активами Министерства финансов США (OFAC). за содействие в отмывании криптовалюты на сумму около 7 миллиардов долларов с 2019 года.

В отчетах также утверждается, что адреса, связанные с CertiK, отправляли часть снятой криптовалюты на ChangeNOW, криптобиржу, не связанную с хранением. На момент публикации CertiK не делала публичных заявлений о том, почему она взаимодействовала с Tornado Cash и ChangeNOW, хотя утверждает, что вернула все выведенные токены Kraken.

Подробнее: Telegram опровергает заявление CertiK об угрозе безопасности, связанной с автоматической загрузкой