Фірма безпеки блокчейну CertiK підтвердила, що стоїть за помилкою, яка призвела до несанкціонованого вилучення токенів на 3 мільйони доларів із Kraken.
Компанія безпеки блокчейнів CertiK зі штаб-квартирою в Нью-Йорку визнала, що стоїть за помилкою, яка призвела до несанкціонованого вилучення токенів на суму 3 мільйони доларів із криптобіржі Kraken.
У повідомленні на X від 19 червня CertiK виявив низку «критичних вразливостей» в обміні Kraken, які «потенційно можуть призвести до збитків на сотні мільйонів доларів».
CertiK нещодавно виявив серію критичних вразливостей в обміні @krakenfx, які потенційно можуть призвести до сотень мільйонів доларів збитків. Починаючи з відкриття в депозитній системі @krakenfx, де вона може не розрізняти різні внутрішні… pic.twitter.com/ JZkMXj2ZCD
— CertiK (@CertiK) 19 червня 2024 р
Згідно з CertiK, проблема була вперше виявлена 5 червня, і Kraken не пройшов кілька тестів, що вказує на те, що система глибокого захисту біржі була «скомпрометована з кількох сторін». Фірма особливо відзначила, що їй вдалося обійти засоби контролю ризиків виведення коштів на біржі, не викликаючи жодних сповіщень.
«Величезна кількість сфабрикованих криптовалют (вартістю понад 1 мільйон доларів США) може бути знята з рахунку та конвертована в дійсні криптовалюти. Що ще гірше, під час багатоденного періоду тестування жодних сповіщень не надходило. Kraken відповів і заблокував тестові облікові записи лише через кілька днів після того, як ми офіційно повідомили про інцидент».
CertiK
Можливо, вам також сподобається: Керівник служби безпеки Kraken повідомляє, що зміна UX призвела до використання помилок на 3 мільйони доларів
Виявивши недоліки, CertiK стверджує, що поінформував Kraken, чия команда безпеки класифікувала проблему як «критичну». Однак після того, як експлойт було виявлено та виправлено, CertiK стверджує, що команда безпеки Kraken «погрожувала» окремим співробітникам CertiK, вимагаючи відшкодування «невідповідної кількості криптовалюти в нерозумний термін, навіть без надання адрес для погашення».
CertiK закликав Kraken «припинити будь-які загрози хакерам whitehat», підтверджуючи свою прихильність спільноті web3 «у дусі прозорості». Однак цей інцидент викликав суперечки та скептицизм серед блокчейн-спільноти, оскільки дослідники блокчейну підкреслили розбіжності в часовій шкалі та заявах CertiK.
ХАХАХА, ВИ, ДОРБАНІ КЛОУНИ. Немає абсолютно ЖОДНОГО всесвіту, де б це було «дослідження безпеки білих капелюхів». Кракен виявляє неймовірне терпіння, не називаючи це прямо тим, чим це є дуже чітко: багатомільйонна крадіжка з вимаганням.
— Тей 💖 (@tayvano_) 19 червня 2024 р
Як зазначив головний технічний директор Cyvers Меїр Долев у своєму обліковому записі X, адреса, пов’язана з CertiK, почала підозрілу активність у кількох блокчейн-мережах за кілька тижнів до того, як було вперше повідомлено про інцидент з Kraken, що викликало запитання щодо часових рамок, наданих CertiK.
Після інциденту @krakenfx подібна діяльність почалася на базі 26 днів тому!! Той самий хеш підпису також використовується на Polygon 14 днів тому. То чи варто вірити часовій шкалі Cetik, що вони знайшли вразливість лише 5 червня?@tayvano_ pic.twitter.com/cvAnVrTg67
— Меїр Долев (@Meir_Dv) 19 червня 2024 р
У наступному дописі в темі CertiK директор Coinbase Конор Гроган зазначив, що адреси, пов’язані з CertiK, надсилали частину вилучених криптовалют Tornado Cash, сервісу змішування, санкції Управління контролю за іноземними активами Міністерства фінансів США (OFAC). за сприяння приблизно 7 мільярдам доларів у відмиванні криптовалюти з 2019 року.
У звітах також стверджується, що адреси, пов’язані з CertiK, надсилали частини вилученої криптовалюти до ChangeNOW, криптообмінника, який не підлягає зберіганню. На момент публікації CertiK не зробив публічних заяв про те, чому він взаємодіяв з Tornado Cash і ChangeNOW, хоча стверджує, що повернув усі вилучені токени Kraken.
Докладніше: Telegram спростовує заяву CertiK про ризик безпеки щодо автоматичного завантаження
