Порушення: CertiK заробив 3 мільйони доларів на Kraken: хакер використав ту саму помилку, щоб використовувати інші біржі тижнем раніше

• У сазі про хакерство CertiK новий поворот.

• Записи Onchain показують, що раніше хтось намагався використати ту саму помилку, яку аудитор виявив у Kraken.

Помилка, яку #Kraken заявив, що виправлено, використовувалася для використання інших централізованих бірж ще минулого місяця, за словами багатьох експертів із криптобезпеки.

Це остання подія в сазі двох великих криптогравців, американської біржі Kraken і аудитора #CertiK .

У середу Kraken заявив, що виправив «критичну» помилку, яка дозволяла помилково виводити мільйони доларів у криптовалюті з біржі в США.

CertiK зазнав критики після того, як визнав, що стоїть за розробкою цієї помилки. Протягом кількох днів на початку червня компанія вивела з Kraken 3 мільйони доларів.

Після публічної перевірки CertiK повернув усі зібрані кошти та назвав свої дії операцією «білого капелюха», тобто вони нібито діяли як етичні хакери з наміром виявити та виправити вразливості безпеки, а не використовувати їх у зловмисних цілях.

Записи Onchain, вперше ідентифіковані платформою безпеки Hexagate та підтверджені DL News кількома іншими дослідниками безпеки, показують, що хакер намагався використати інші криптобіржі — використовуючи ту саму помилку ще 17 травня.

Ці спроби були зроблені за три тижні до того, як 5 червня CertiK заявив, що виявив помилку на Kraken.

«У нас немає доказів, що ці біржі вплинули», — опублікував Hexagate на X. «Ми відстежили лише докази подібної активності в мережі».

Централізовані криптобіржі зберігають величезну кількість криптовалюти від імені своїх клієнтів. За даними DefiLlama, п’ять найкращих криптовалютних бірж, які публічно оприлюднили адреси своїх гаманців, зберігають криптовалюти на загальну суму 172 мільярди доларів.

CertiK не відразу відповів на запит DL News про коментарі.

Спроба подвигів

Записи, виділені Hexagate, показують, що хакер намагався використати так звану атаку «повернення», щоб обманом змусити централізовані біржі дозволити їм виводити кошти.

Для цього хакер створив смарт-контракт, який містить транзакцію для внесення коштів на централізовану біржу. Контракт розроблено таким чином, що основна транзакція завершується успішно, але депозит повертається.

Це змушує біржу вважати, що користувач вніс кошти, хоча вони цього не зробили. Потім хакер запитує зняття з біржі, списуючи фальшиву суму депозиту.

Записи nchain показують численні спроби використання такого контракту під час внесення коштів на Binance на BNB Chain 17 травня.

У період з 29 травня по 5 червня ця та сама адреса, а також інша, яка фінансувалася нею, робили подібні спроби на OKX, BingX і Gate.io на BNB Chain, Arbitrum і Optimism.

Чи бере участь CertiK?

Хоча CertiK вперше публічно оприлюднив реверс-атаку, немає жодних доказів її участі в цих попередніх атаках.

Кожна з функцій смарт-контрактів має так званий хеш підпису, за яким їх можна ідентифікувати.

У випадку контракту на зворотну атаку хеш-сигнатура недоступна, тобто назва функції невідома громадськості, розповів DL News дослідник безпеки, який побажав залишитися анонімним.

Це означає, що назва функції для атаки повернення відома CertiK або хтось інший також використав точно таку саму назву, сказав дослідник.