Согласно отчету CertiK: CertiK обнаружила ряд критических уязвимостей в обменных системах Kraken, которые потенциально могут привести к убыткам в сотни миллионов долларов. Эти выводы были сделаны после углубленного расследования депозитной системы и протоколов безопасности Kraken.
- Критические уязвимости: CertiK выявила несколько уязвимостей в системах Kraken, включая неспособность различать различные статусы внутренних переводов в депозитной системе.
- Серьезные нарушения безопасности: в ходе тщательного тестирования CertiK обнаружила, что защита Kraken была скомпрометирована по нескольким направлениям. Ключевые вопросы тестирования заключались в том, может ли злоумышленник фальсифицировать депозитные транзакции, выводить сфабрикованные средства и уклоняться от контроля рисков при отправке крупных запросов на снятие средств.
Результаты тестирования:
- Неудачные тесты безопасности: Kraken провалил все тесты, проведенные CertiK, обнаружив серьезные недостатки:
- Фальсификация депозитов: злоумышленники могут незаметно внести миллионы долларов на любой счет Kraken.
- Вывод сфабрикованных средств: сфабрикованные средства на сумму более 1 миллиона долларов могут быть выведены и конвертированы в действительные криптовалюты.
- Отсутствие оповещений: в течение многодневного периода тестирования не возникало ни одного оповещения системы безопасности. Kraken отреагировал и заблокировал тестовые аккаунты только через несколько дней после официального сообщения об уязвимостях.
Ответ Кракена:
- Критическая классификация: команда безопасности Kraken классифицировала уязвимости как критические, самый серьезный уровень классификации на бирже.
- Первоначальные усилия по устранению: после того, как об уязвимостях было сообщено, Kraken предпринял шаги по их устранению.
- Спорная реакция: команда безопасности Kraken предположительно угрожала отдельным сотрудникам CertiK выплатить несовпадающую сумму в криптовалюте в необоснованные сроки, не предоставив соответствующие адреса погашения.
Публичное раскрытие:
В свете этих проблем CertiK решила обнародовать результаты, чтобы обеспечить прозрачность и безопасность пользователей. Сообщество Web3 должно знать об этих уязвимостях и потенциальных рисках.
Заявление Сертик:
«В духе прозрачности и нашей приверженности сообществу Web3 мы становимся публичными, чтобы защитить безопасность всех пользователей. Мы призываем Kraken прекратить любые угрозы против хакеров. Вместе мы можем противостоять рискам и защитить будущее Web3».
Выводы CertiK подчеркивают значительные уязвимости безопасности в системах обмена Kraken, которые представляют потенциальный риск для миллионов долларов средств пользователей. По мере развития ситуации сообщество и заинтересованные стороны должны сохранять бдительность и расставлять приоритеты в отношении мер безопасности для защиты целостности экосистемы Web3.