Blockchain güvenlik firması CertiK, Kraken'den 3 milyon dolar değerindeki tokenin yetkisiz olarak çekilmesiyle sonuçlanan bir hata istismarının arkasında kendisinin olduğunu doğruladı.

New York merkezli blockchain güvenlik firması CertiK, Kraken kripto borsasından 3 milyon dolar değerindeki tokenin yetkisiz olarak çekilmesiyle sonuçlanan bir hata istismarının arkasında olduğunu itiraf etti.

19 Haziran'da X ile ilgili bir başlıkta CertiK, Kraken borsasında "potansiyel olarak yüz milyonlarca dolarlık kayba yol açabilecek" bir dizi "kritik güvenlik açığı" tespit ettiğini açıkladı.

CertiK yakın zamanda @krakenfx borsasında potansiyel olarak yüz milyonlarca dolarlık kayba yol açabilecek bir dizi kritik güvenlik açığı tespit etti. @krakenfx'in mevduat sisteminde farklı dahili borsalar arasında ayrım yapamayabileceği bir bulgudan yola çıkarak… pic.twitter.com/ JZkMXj2ZCD

- CertiK (@CertiK) Haziran 19, 2024

CertiK'e göre sorun ilk olarak 5 Haziran'da tespit edildi ve Kraken birden fazla testte başarısız oldu; bu da borsanın derinlemesine savunma sisteminin "birden fazla cephede tehlikeye girdiğini" gösteriyor. Firma özellikle borsanın çekilme riski kontrollerini herhangi bir uyarı tetiklemeden atlatmayı başardığını belirtti.

“Büyük miktarda uydurma kripto (değeri 1 milyon dolardan fazla) hesaptan çekilip geçerli kripto paralara dönüştürülebilir. Daha da kötüsü, birkaç gün süren test döneminde hiçbir uyarı tetiklenmedi. Kraken, olayı resmi olarak bildirmemizden günler sonra yanıt verdi ve test hesaplarını kilitledi."

Sertifika

Şunlar da hoşunuza gidebilir: Kraken baş güvenliği, UX değişikliğinin 3 milyon dolarlık hata istismarıyla sonuçlandığını ortaya koyuyor

CertiK, kusurları keşfettikten sonra güvenlik ekibinin sorunu "kritik" olarak sınıflandırdığı Kraken'e bilgi verdiğini iddia ediyor. Ancak istismar tespit edilip düzeltildikten sonra CertiK, Kraken'in güvenlik operasyonları ekibinin bireysel CertiK çalışanlarını "tehdit ettiğini" ve "geri ödeme adresleri sağlamadan bile uyumsuz miktardaki kripto paranın makul olmayan bir sürede geri ödenmesini" talep ettiğini iddia ediyor.

CertiK, Kraken'i "beyaz şapkalı bilgisayar korsanlarına yönelik her türlü tehdidi durdurmaya" çağırarak web3 topluluğuna "şeffaflık ruhuyla" bağlılığını ifade etti. Ancak olay, blockchain araştırmacılarının CertiK'in zaman çizelgesi ve iddialarındaki tutarsızlıkları vurgulamasıyla blockchain topluluğu içinde tartışmalara ve şüphelere yol açtı.

HAHAHHA SİZİ LANET PALYAÇOLAR Bunun "beyaz şapkalı güvenlik araştırması" olduğu bir evren kesinlikle YOKTUR. Kraken, bunun ne olduğunu açıkça söylemediği için inanılmaz derecede sabırlı: gasp tarafı olan multimilyon dolarlık bir hırsızlık.

- Tay 💖 (@tayvano_) Haziran 19, 2024

Cyvers baş teknoloji sorumlusu Meir Dolev'in X hesabında belirttiği gibi, CertiK ile ilişkili bir adres, Kraken olayının ilk rapor edilmesinden haftalar önce birden fazla blockchain ağında şüpheli faaliyetlere başladı ve bu da CertiK tarafından sağlanan zaman çizelgesi hakkında soruları gündeme getirdi.

@krakenfx Olayı'nın ardından 26 gün önce üste benzer bir faaliyet başlamıştı!! Aynı imza karması 14 gün önce Polygon'da da kullanılıyordu. Peki Çetik'in güvenlik açığını yalnızca 5 Haziran'da bulduklarına inanmalı mıyız?@tayvano_ pic.twitter.com/cvAnVrTg67

- Meir Dolev (@Meir_Dv) 19 Haziran 2024

CertiK'in başlığı altındaki bir takip gönderisinde Coinbase direktörü Conor Grogan, CertiK ile ilişkili adreslerin çekilen kripto paranın bir kısmını ABD Hazine Bakanlığı Yabancı Varlıklar Kontrol Ofisi (OFAC) tarafından onaylanan bir karıştırma hizmeti olan Tornado Cash'e gönderdiğine dikkat çekti. 2019'dan bu yana yaklaşık 7 milyar dolarlık kripto para aklamayı kolaylaştırdığı için.

Raporlar ayrıca CertiK ile ilişkili adreslerin, geri çekilen kripto paranın bir kısmını saklama dışı bir kripto borsası olan ChangeNOW'a gönderdiğini iddia ediyor. Basın tarihi itibarıyla CertiK, Tornado Cash ve ChangeNOW ile neden etkileşime girdiğine dair herhangi bir kamuya açıklama yapmadı, ancak çekilen tüm tokenleri Kraken'e iade ettiğini iddia ediyor.

Devamını oku: Telegram, CertiK'in otomatik indirme güvenliği riski iddiasını yalanlıyor