CertiK'in 3 milyon dolarlık Kraken tartışması: Hacker, haftalar önce aynı hatayı diğer kripto borsalarından yararlanmak için de kullandı

Birçok kripto güvenlik uzmanına göre, Kraken'in düzelttiğini söylediği hata, geçen ayın başlarında diğer merkezi borsalardan yararlanmak için kullanılmıştı.

Bu, iki büyük kripto oyuncusunun, ABD merkezli borsa Kraken ve denetçi CertiK'in destanındaki son gelişme.

Çarşamba günü Kraken, milyonlarca dolarlık kripto paranın ABD merkezli borsadan yanlışlıkla çekilmesine izin veren "kritik" bir hatayı düzelttiğini söyledi.

CertiK, bu hatanın istismarının arkasında olduğunu itiraf ettikten sonra ateş altında kaldı. Firma, Haziran başında birkaç gün içinde Kraken'den 3 milyon dolar çekti.

Kamuya açık bir karşılıklı çekişmenin ardından CertiK, aldığı tüm fonları iade etti ve eylemlerini beyaz şapka operasyonu olarak nitelendirdi; bu, görünüşte güvenlik açıklarını kötü amaçlarla kullanmak yerine tespit etmek ve düzeltmek amacıyla etik bilgisayar korsanları gibi hareket ettikleri anlamına geliyor.

İlk olarak güvenlik platformu Hexagate tarafından tanımlanan ve diğer birçok güvenlik araştırmacısı tarafından DL News'e doğrulanan zincir içi kayıtlar, bir bilgisayar korsanının 17 Mayıs gibi erken bir tarihte aynı hatayı kullanarak diğer kripto borsalarından (Binance, OKX, BingX ve Gate.io) yararlanmaya çalıştığını gösteriyor.

Bu girişimler, CertiK'in 5 Haziran'da Kraken'deki hatayı bulduğunu açıklamasından üç hafta önce gerçekleşti.

Hexagate, X'te "Bu borsaların etkilendiğine dair hiçbir kanıtımız yok" dedi. "Yalnızca benzer faaliyetlere ilişkin zincir içi kanıtların izini sürdük."

Merkezi kripto borsaları, müşterileri adına devasa miktarda kripto tutuyor. DefiLlama verilerine göre, cüzdan adreslerini kamuya açıklayan ilk beş kripto borsası toplam 172 milyar dolar değerinde kriptoya sahip.

CertiK, DL News'in yorum talebine hemen yanıt vermedi.

Açıklardan yararlanma girişimleri

Hexagate tarafından vurgulanan kayıtlar, bir bilgisayar korsanının, merkezi borsaları kandırarak para çekmelerine izin vermek için sözde "geri alma" saldırısı kullanmaya çalıştığını gösteriyor.

Bunu yapmak için bilgisayar korsanı, merkezi bir borsaya para yatırma işlemini içeren bir akıllı sözleşme oluşturdu. Sözleşme, ana işlemin başarılı olacağı ancak depozitonun geri alınacağı şekilde tasarlanmıştır.

Bu, borsayı kandırarak kullanıcının para yatırmadığı halde para yatırdığını düşünmesini sağlar. Bilgisayar korsanı daha sonra sahte para yatırma tutarını borçlandırarak borsadan çekilme talebinde bulunur.

Onchain kayıtları, 17 Mayıs'ta BNB Chain'de Binance'e para yatırma işlemi sırasında böyle bir sözleşmeyi kullanmak için birden fazla girişimde bulunulduğunu gösteriyor.

29 Mayıs ile 5 Haziran tarihleri ​​arasında aynı adres ve kendisi tarafından finanse edilen bir başka adres, BNB Chain, Arbitrum ve Optimism üzerinde OKX, BingX ve Gate.io üzerinde benzer girişimlerde bulundu.

CertiK işin içinde mi?

CertiK, geri alma saldırısını ilk kez kamuya açıklasa da, daha önceki saldırılarda rol oynadığına dair hiçbir kanıt yok.

Akıllı sözleşme işlevlerinin her biri, tanımlanabilecekleri sözde imza karmasına sahiptir.

Anonim kalmak isteyen bir güvenlik araştırmacısı, DL News'e, geri alma saldırısı sözleşmesinde imza karmasının mevcut olmadığını, yani işlevin adının kamuya açıklanmadığını söyledi.

Araştırmacı, bunun, geri döndürme saldırısının işlev adının CertiK üzerinde bilindiği veya bir başkasının da tam olarak aynı adı kullandığı anlamına geldiğini söyledi.

Tim Craig, DL News'in Edinburgh merkezli DeFi Muhabiridir. İpuçları için tim@dlnews.com adresinden ona ulaşın.