CertiK, фирма по обеспечению безопасности смарт-контрактов, продолжает утверждать, что ее действия против биржи Kraken были этичными и что она пыталась оценить весь спектр недостатков безопасности. Тестеры также утверждают, что вернули все средства натурой и не вымогали у Kraken.
Команда CertiK разработала новое заявление, опровергающее некоторые предыдущие утверждения о Kraken. Тестировщики отвергли требования о вознаграждении, заявив, что их приоритетом было устранение уязвимости, связанной с возможностью вывода средств на счет.
Читайте: Kraken возвращает 3 миллиона долларов из-за растущей критики в адрес Certik
Все выведенные средства поступили с холодных кошельков Kraken, и ни одна учетная запись пользователя не была затронута. Монеты были возвращены на основании собственных расчетов CertiK и записей транзакций.
Вопросы и ответы по недавним операциям CertiK-Kraken whitehat: 1. Потерял ли кто-нибудь из реальных пользователей средства? Нет. Криптовалюты были созданы из воздуха, и никакие активы реальных пользователей Kraken не принимали непосредственного участия в нашей исследовательской деятельности. Мы отказались вернуть средства? Нет. В нашем общении с…
– CertiK (@CertiK) 20 июня 2024 г.
Самым спорным действием CertiK стала запись об отправке части средств в Tornado Cash. Ранее миксер монет подвергался санкциям Министерства финансов США, которое запрещало лицам, проживающим в США, взаимодействовать с ним.
CertiK хорошо осведомлена об использовании Tornado Cash и включила эти переводы в качестве доказательства ее использования. Ранее CertiK также отслеживала использование Tornado Cash в рамках старых эксплойтов. Одним из главных направлений деятельности Certik остается аудит смарт-контрактов, которые часто содержат аналогичные логические ошибки, ведущие к неограниченному созданию токенов.
Подход CertiK к этичному взлому нервировал наблюдателей, поскольку небольшие суммы были отправлены непосредственно в Tornado Cash для проверки эксплойта. Некоторые этапы процесса тестирования Kraken просочились в социальные сети еще до того, как Kraken наконец уведомил компанию о фактическом размере эксплойта.
Вопрос о вознаграждении за обнаружение ошибок не обсуждался, но CertiK продолжает утверждать, что для возврата средств вознаграждение не требуется. Пока что служба безопасности Kraken не объявила о вознаграждении за CertiK.
Kraken признается, что получил все средства
CertiK генерировала балансы на централизованной платформе Kraken и осуществляла снятие средств от имени этих счетов.
Утверждения Kraken о том, что CertiK давала неточные отчеты, были самыми спорными. Однако через несколько дней это было опровергнуто. Начальник службы безопасности Kraken Ник Перкоко объявил, что средства были полностью возвращены за вычетом комиссий за транзакции.
Обновление: теперь мы можем подтвердить, что средства были возвращены (за вычетом небольшой суммы, потерянной из-за комиссий). https://t.co/cHkjPt3m2A
– Ник Перкоко (@c7five), 20 июня 2024 г.
В отчетности CertiK сообщалось о снятии только ETH, USDT и XMR, в то время как Kraken также утверждал, что 155 818,44 MATIC также были выведены и смешаны. Выводы оценивались примерно в 3 миллиона долларов, хотя Certik использовал небольшую сумму, чтобы доказать факт эксплойта.
Дальнейший анализ эксплойта показал, что CertiK генерировал несуществующие балансы MATIC, но транзакции не удались, и средства из холодных кошельков Kraken не покинули. Созданный MATIC был всего лишь внутренним эксплойтом, который не привел к передаче реальных токенов Polygon.
#Certik : На первый взгляд кажется, что эксплойт Certik состоит из:1. Создание контракта и внесение в него средств2. Генерация события LogFeeTransfer()3. @krakenfx сканирует LogFeeTransfer() на своих депозитных адресах и, похоже, не проверяет, действительно ли там находятся MATIC pic.twitter.com/QI4bdXJdbz
– Наим Бубзиз (@BrutalTrade) 20 июня 2024 г.
В некоторых случаях наличие средств можно смоделировать, поскольку другие протоколы подвергались атакам с помощью срочных кредитов.
CertiK утверждает, что в июне количество эксплойтов снова возросло: из приложений и протоколов было изъято более 30 миллионов долларов. В подсчет не включены атаки на отдельные кошельки.
Tornado Cash все еще работает спустя годы после санкций
Миксер Tornado Cash по-прежнему способствует осуществлению эксплойтов, поскольку после прохождения через миксер средства невозможно отследить. Даже после внесения кошельков и адресов в черный список ничто не мешает хакерам смешивать ETH и отправлять его на новые неизвестные кошельки.
Читайте также: Группа, стоящая за иском Tornado Cash, проиграла Министерству финансов США
С 2022 года ресурсы Tornado Cash ограничены, но сервис все еще работает.
Основатель Tornado Cash Алексей Перцев получил приговор в мае 2024 года с возможными годами за решеткой. Тем не менее, санкции и запреты не мешают никому использовать миксер, что не затрагивает юрисдикции за пределами США.
Некоторые монеты, такие как USDC, занесли в черный список все контракты Tornado Cash. Любые средства, отправленные по контракту, не могут быть возвращены снова. USDC также известен своей централизованной способностью замораживать монеты. Для Kraken возможность вывода средств на адрес контракта Tornado Cash также была серьезной уязвимостью. Большинство производителей токенов предпочитают не осуществлять контроль над токенами, что делает их уязвимыми для кражи и невозвратимыми в результате смешивания.
Криптополитический репортаж Кристины Васильевой
