Конфлікт CertiK на Kraken на 3 мільйони доларів: хакер використовував ту саму помилку, щоб використовувати інші криптовалютні біржі тижнями раніше

За словами багатьох експертів із криптобезпеки, помилка, яку Kraken виправила, використовувалася для використання інших централізованих бірж ще минулого місяця.

Це остання подія в сазі двох великих криптогравців, американської біржі Kraken і аудитора CertiK.

У середу Kraken заявив, що виправив «критичну» помилку, яка дозволяла помилково виводити мільйони доларів у криптовалюті з біржі в США.

CertiK зазнав критики після того, як визнав, що стоїть за розробкою цієї помилки. Протягом кількох днів на початку червня компанія вивела з Kraken 3 мільйони доларів.

Після публічної перевірки CertiK повернув усі зібрані кошти та назвав свої дії "білою операцією", що означає, що вони нібито діяли як етичні хакери з наміром виявити та виправити вразливості безпеки, а не використовувати їх у зловмисних цілях.

Записи Onchain, вперше ідентифіковані платформою безпеки Hexagate і підтверджені DL News кількома іншими дослідниками безпеки, показують, що хакер намагався використати інші криптобіржі — Binance, OKX, BingX і Gate.io — використовуючи ту саму помилку ще 17 травня.

Ці спроби були зроблені за три тижні до того, як 5 червня CertiK заявив, що виявив помилку на Kraken.

«У нас немає доказів, що ці біржі вплинули», — опублікував Hexagate на X. «Ми відстежили лише докази подібної активності в мережі».

Централізовані криптобіржі зберігають величезну кількість криптовалюти від імені своїх клієнтів. За даними DefiLlama, п’ять найкращих криптовалютних бірж, які публічно оприлюднили адреси своїх гаманців, зберігають криптовалюти на загальну суму 172 мільярди доларів.

CertiK не відразу відповів на запит DL News про коментарі.

Спроба експлойтів

Записи, виділені Hexagate, показують, що хакер намагався використати так звану атаку «повернення», щоб обманом змусити централізовані біржі дозволити їм виводити кошти.

Для цього хакер створив смарт-контракт, який містить транзакцію для внесення коштів на централізовану біржу. Контракт розроблено таким чином, що основна транзакція завершується успішно, але депозит повертається.

Це змушує біржу подумати, що користувач вніс кошти, хоча вони цього не зробили. Потім хакер запитує зняття з біржі, списуючи фальшиву суму депозиту.

Записи Onchain показують численні спроби використання такого контракту під час внесення коштів на Binance на BNB Chain 17 травня.

У період з 29 травня по 5 червня ця та сама адреса, а також інша, фінансована нею, здійснили подібні спроби на OKX, BingX і Gate.io на BNB Chain, Arbitrum і Optimism.

Чи бере участь CertiK?

Незважаючи на те, що CertiK вперше публічно оприлюднив реверс-атаку, немає жодних доказів її участі в цих попередніх атаках.

Кожна з функцій смарт-контрактів має так званий хеш підпису, за яким їх можна ідентифікувати.

У випадку контракту на зворотну атаку хеш-сигнатура недоступна, тобто назва функції невідома громадськості, розповів DL News дослідник безпеки, який побажав залишитися анонімним.

Це означає, що назва функції для атаки повернення відома CertiK або хтось інший також використав точно таку саму назву, сказав дослідник.

Тім Крейг — кореспондент DeFi DL News в Единбурзі. Звертайтеся до нього з порадами за адресою tim@dlnews.com.