Криптовалютна біржа Kraken і фірма безпеки блокчейнів CertiK минулої ночі вступили в публічне протистояння в соціальних мережах через серію серйозних порушень безпеки.

Спочатку CertiK виявив серію критичних уразливостей у Kraken, що виникли внаслідок нещодавніх змін у користувальницькому досвіді (UX) у Kraken, які виставляли рахунки клієнтам безпосередньо перед погашенням їхніх активів і дозволяли клієнтам торгувати на ринках криптовалюти в режимі реального часу, Kraken ще не повністю перевірив цей специфічний вектор атаки.

Простіше кажучи, ця вразливість дозволяє зловмисному зловмиснику ініціювати депозитну операцію та отримати кошти на свій рахунок без повного завершення депозиту.

Після того, як Kraken перевірив уразливість, вона була негайно оцінена як критична, а через 47 хвилин проблема була усунена командою експертів Kraken. Пізніше керівник відділу безпеки Kraken Нік Перкоко заявив, що проблема повністю вирішена і більше не повториться.

Хронологія події, джерело: CertiK official X

Однак Нік Перкоко зазначив, що під час цієї «перевірки безпеки» CertiK пограбував Kraken майже на 3 мільйони доларів, тоді як CertiK це рішуче заперечив.

Білий капелюх чи шантаж?

Посмертне розслідування Kraken виявило, що три облікові записи скористалися недоліком протягом кількох днів, у тому числі один обліковий запис, пов’язаний із співробітниками CertiK через KYC, які використали недолік, щоб збільшити баланс свого облікового запису на 4 долари.

Теоретично генерування 4 доларів достатньо, щоб довести існування вразливості, і вразливість оцінюється як «критична» Kraken. Це означає, що якщо згенеровані 4 долари повертаються, ви можете звернутися до Kraken за 1-1,5 мільйона доларів. винагорода.

Бонуси від програми винагород за помилки Kraken. Джерело: Kraken

Однак «дослідник безпеки» вирішив розкрити вразливість двом іншим особам, з якими він працював, які скористалися цією вразливістю, щоб отримати більші суми коштів, зрештою знявши майже 3 мільйони доларів зі своїх рахунків у Kraken.

Коли Kraken попросив CertiK надати детальний опис кампанії, створити доказ концепції для активності в ланцюжку та організувати повернення коштів, які вони вилучили, CertiK відмовився та попросив зв’язатися зі своєю командою BD. У той же час CertiK також заявив, що не погодиться повертати будь-які кошти, поки Kraken не надасть гіпотетичну суму можливих збитків.

У цей момент головний офіцер служби безпеки Kraken Нік Перкоко назвав дії CertiK вимаганням у своєму твіттері та розцінив збиток у 3 мільйони доларів як «кримінальну справу» і наразі співпрацює з правоохоронними органами щодо повернення коштів.

CertiK пізніше захистив свої дії щодо X .

Тестування Kraken CertiK зосереджувалося на трьох питаннях: чи можуть зловмисники підробити депозитні транзакції на рахунках Kraken? Чи можуть зловмисники вивести фальшиві кошти? Які засоби контролю ризиків і захисту активів можуть бути викликані великими запитами на зняття коштів? CertiK вважає, що біржа Kraken не пройшла всі ці тести, що свідчить про те, що система глибокого захисту Kraken була скомпрометована з кількох сторін.

CertiK повідомила, що через уразливість, яка дозволила перерахувати мільйони доларів на будь-який рахунок Kraken, Kraken не ініціював жодних сповіщень протягом багатоденного тестового періоду, і лише коли CertiK офіційно повідомив про інцидент, він відреагував і заблокував тестовий рахунок.

Що стосується збитків Kraken у 3 мільйони доларів, CertiK стверджує, що Kraken погрожував співробітникам компанії, і що загальна сума коштів, яку Kraken просив повернути, «не відповідає» криптовалюті, яку він вкрав. У той же час CertiK розкрила всі адреси депозитів і заявила, що переведе наявні кошти на рахунки, до яких Kraken матиме доступ на основі записів.

Громадські плітки ще більш захоплюючі

Ця охоронна компанія, яку критикували, знову мала проблеми, і співтовариство шифрувальників швидко цим скористалося.

Меїр Долев, засновник Cyvers.AI, сказав: «Згідно з аналізом мережі, за 26 днів до того, як спалахнув інцидент з Kraken, на Coinbase відбулася подібна активність з тим же хешем підпису, 14 днів тому також була подібна активність зняття коштів у мережі Polygon. Було перераховано з використанням того самого хешу підпису».

Certik раніше стверджував, що виявив і використав уразливість Kraken 5 червня, але дані в ланцюжку, здається, свідчать про те, що вона могла знати про вразливість і здійснювала подібні дії кілька разів. Інсайдери галузі сумніваються в тому, що терміни, оголошені Certik, відповідають дійсності та чи вже використовували вразливість для переказу коштів протягом тривалого періоду часу. Відкриття, безсумнівно, загострило питання про цілісність Сертика.

Крім того, безпека CertiK як охоронної компанії також піддається сумніву.

Адам Кокран із Synthetix сказав: «CertiK — це відвертий злочинець, чия поведінка повністю відхиляється від професійної етики охоронної компанії. З огляду на те, що проекти, перевірені CertiK, були неодноразово зламані, як компанія все ще може існувати сьогодні?»

У наступні години Synthetix знову підняв серйозні запитання щодо професіоналізму та довіри CertiK. «Аудитори безпеки CertiK скористалися своїм становищем для передачі та продажу активів через санкційні Tornado Cash та інші канали. Модель поведінки схожа на поведінку хакерської групи Lazarus».

Було виявлено, що аудитори безпеки CertiK не лише переміщували активи через Tornado Cash, але й скидали активи через ChangeNOW, що є точно такою ж поширеною практикою після того, як група хакерів Lazarus зламала протокол шифрування. Деякі аналітики стверджують, що Lazarus вторгся в протоколи аудиту Certik більше, ніж будь-який інший протокол, викликаючи питання про те, чи Certik вже проникли хакери.

Хоча незрозуміло, чи задіяна вся компанія CertiK, це викликає питання про те, чи була «скомпрометована» дослідницька група Certik щодо безпеки.

Відповідні люди зазначили, що враховуючи те, що північнокорейська хакерська організація попросила агентів використовувати протоколи DeFi для пошуку роботи, вони також «змовлялися» з аудиторами CertiK. Інакше важко пояснити, чому американська компанія з багатьма відомими інвесторами вимагав транзакцій і порушував санкції США щодо угод щодо відмивання грошей.

Чень Цзянь з Puffer Finance сказав: «Колишній співробітник розповів, що вище керівництво CertiK надто багато уваги приділяло прибуткам і мало відхилення у вартості. Одного разу компанія випустила токени, а потім відмовилася від них, що призвело до збитків інвесторів. Сторонам проекту рекомендується уважно вибирайте CertiK для перевірки безпеки". Чень Цзянь вважає, що CertiK фактично стала "компанією, яка займається штампуванням, оповита ореолом і стягує високі збори". Проекти, які вона перевіряла, неодноразово стикалися з проблемами безпеки.

Крім того, було виявлено, що «деякі внутрішні аудитори CertiK злили конфіденційну інформацію про компанію та деталі аудиту».

Що стосується злочинів CertiK, багато інсайдерів галузі критикували CertiK як «огидну», «аморальну», «безвідповідальну», «обманну» та «нікчемну». Велика кількість членів спільноти шифрувальників приєдналася до словесної атаки на CertiK. Серед них колишній співробітник OKX Zi Ye сказав: «Хтось вдарив ногою по залізній пластині».

DegenBing.eth |. Buji DAO прямо сказав, що люди, які вихваляють CertiK, або дурні, або погані: «Всі поспішіть і приготуйте попкорн, подальші дії повинні бути захоплюючими». Користувач спільноти @tayvano_ також висміяв CertiK: «Немає жодного виправдання поведінці CertiK, і це взагалі не можна розглядати як законний тест білого капелюха» і закликав CertiK «забратися».

CrertiK, лишилося тільки "оклеветать мир"?

З реакції спільноти видно, що CertiK, головний герой цього інциденту, не вперше бере участь у суперечці. CertiK народився в 2017 році і колись був зірковим проектом у сфері безпеки Web3. Її засновниками є Шао Чжун, голова кафедри комп’ютерних наук Єльського університету та штатний професор, і Гу Жунхуей, професор кафедри комп’ютерних наук Колумбійського університету, обидва є провідними вченими в галузі безпеки.

У 2021 році компанія CertiK почала стрімко розвиватися. Менш ніж за рік вона отримала фінансування від найрозкішніших інвесторів, таких як Goldman Sachs, SoftBank, Sequoia та Hillhouse Серед проектів CertiK частка ринку становить 70%, що значно перевищує його аналогів. Його кооперативні клієнти включають такі провідні проекти, як Aave, Polygon, Yearn Finance і Chiliz.

Але з іншого боку, CertiK зіткнувся з суперечками з моменту свого запуску, що сумнівається в тому, що CertiK займає більшу частину ринку безпеки Web3, але не може гарантувати безпеку проектів, які він обробляє. Деякі люди навіть скаржилися: «Не всі аудити CertiK тікають, але ті, які тікають, — це майже всі аудити CertiK, і всі вони люблять стверджувати, що вони оновилися, але фактичні результати відомі всім, тому «CertiK Audit» майже став посібником із захисту від блискавки.

У квітні 2023 року Geek Park взяв інтерв’ю у генерального директора CertiK Гу Жунхуя, який відповів на ці суперечки реченням «відомий у всьому світі, обмовлений у всьому світі». Що стосується частих проблем безпеки, CertiK вважає їх «неминучими ситуаціями» і реагує, публікуючи звіти про перевірку безпеки та дозволяючи спільноті проводити спонтанні перевірки. Одного разу Гу Жунхуй сказав, що він не хоче, щоб CertiK став «відділом» або організацією проти крадіжок. «Сертифікат».

Невдовзі після публікації звіту Geek Park про інтерв’ю з CertiK було викрадено приблизно 1,82 мільйона доларів США, децентралізованої торгової платформи на основі zkSync. Цього разу CertiK перевів Merlin в атаку розробників».

Через місяць проект DeFi Swaprum припинив роботу через кілька тижнів після перевірки CertiK, забравши загалом 3 мільйони доларів коштів клієнтів. Спільнота вказала пальцем на CertiK, заявивши, що це санкціонує «ще одну змову».

Окрім різних аварій, спільнота також поставила під сумнів технічні бар’єри CertiK.

CertiK використовує формальну верифікацію та технологію AI, щоб надавати наскрізні послуги аудиту безпеки блокчейну. Простіше кажучи, він використовує комбінацію формальної перевірки та ручної перевірки, щоб автоматично перевіряти проблеми з вихідним кодом за допомогою великих мовних моделей, проводити симуляцію атак, а потім. Інженери з безпеки нададуть відгук щодо порушених питань.

Засновник впевнений у своєму механізмі: «Навіть якщо наша технологія не розвиватиметься, доки ми зможемо бачити більше коду та матимемо більше людей коментувати його, наш механізм ставатиме все кращим і кращим». вище, і у нас буде все більше і більше клієнтів, що зробить двигун все кращим».

Окрім того факту, що результати аудиту не заслуговують довіри, темна історія CertiK також включає його досвід випуску валюти CertiK колись запустив ланцюжок Certik і свій токен CTK у 2021 році, але тепер представлення його токена CTK більше не можна знайти на сайті. офіційний сайт Certik.

Зрозуміло, що на той час у CTK було два раунди приватного розміщення: один з квотою 29% і ціною 0,77 долара США, а другий раунд – з квотою 9% і ціною 1,9 долара США. Після того, як CTK вийшов в Інтернет, він почав знижуватися після короткого заряду, його ціна становила 0,8 долара.

Після участі в суперечці про «шантаж Kraken», незважаючи на те, що у Kraken є вразливі місця, ставлення спільноти напрочуд послідовне, і вони згадали минулі вчинки CertiK. Досвід CertiK за останні роки змусив спільноту зітхнути: від зіркового проекту в галузі безпеки Web3 із розкішним фінансуванням і оцінкою в 2 мільярди доларів США до участі в різноманітних суперечках і визнанням «ярлика уникнення блискавки». а також надав можливості для розробників проектів, які все ще знаходяться на місці події.