Vụ kiện Kraken trị giá 3 triệu USD của CertiK: Hacker đã sử dụng lỗi tương tự để khai thác các sàn giao dịch tiền điện tử khác vài tuần trước

Theo nhiều chuyên gia bảo mật tiền điện tử, lỗi mà Kraken cho biết họ đã vá đã được sử dụng để khai thác các sàn giao dịch tập trung khác ngay từ tháng trước.

Đó là diễn biến mới nhất trong câu chuyện của hai công ty tiền điện tử lớn, sàn giao dịch Kraken có trụ sở tại Hoa Kỳ và công ty kiểm toán CertiK.

Vào thứ Tư, Kraken cho biết họ đã vá một lỗi “nghiêm trọng” cho phép rút nhầm hàng triệu đô la tiền điện tử khỏi sàn giao dịch có trụ sở tại Hoa Kỳ.

CertiK đã bị chỉ trích sau khi thừa nhận đứng đằng sau việc khai thác lỗi đó. Công ty đã rút 3 triệu đô la khỏi Kraken trong vài ngày vào đầu tháng Sáu.

Sau khi qua lại công khai, CertiK đã trả lại tất cả số tiền đã lấy và gọi hành động của mình là hoạt động mũ trắng, nghĩa là họ bề ngoài hoạt động như những tin tặc có đạo đức với mục đích xác định và sửa chữa các lỗ hổng bảo mật thay vì khai thác chúng cho mục đích xấu.

Các bản ghi onchain lần đầu tiên được xác định bởi nền tảng bảo mật Hexagate và được nhiều nhà nghiên cứu bảo mật khác xác nhận với DL News, cho thấy một hacker đã cố gắng khai thác các sàn giao dịch tiền điện tử khác – Binance, OKX, BingX và Gate.io – bằng cách sử dụng cùng một lỗi vào đầu ngày 17 tháng 5.

Những nỗ lực đó diễn ra ba tuần trước khi CertiK cho biết họ đã tìm thấy lỗi trên Kraken vào ngày 5 tháng 6.

“Chúng tôi không có bằng chứng nào cho thấy các sàn giao dịch này đã bị ảnh hưởng,” Hexagate đăng trên X. “Chúng tôi chỉ truy tìm bằng chứng trên chuỗi cho hoạt động tương tự.”

Các sàn giao dịch tiền điện tử tập trung nắm giữ một lượng tiền điện tử khổng lồ thay mặt cho khách hàng của họ. Theo dữ liệu của DefiLlama, 5 sàn giao dịch tiền điện tử hàng đầu đã tiết lộ công khai địa chỉ ví của họ nắm giữ tổng cộng 172 tỷ USD tiền điện tử.

CertiK đã không trả lời ngay lập tức yêu cầu bình luận của DL News.

Đã cố gắng khai thác

Các hồ sơ được Hexagate nêu bật cho thấy một hacker đã cố gắng sử dụng cái gọi là cuộc tấn công “hoàn nguyên” để lừa các sàn giao dịch tập trung cho phép họ rút tiền.

Để làm điều đó, hacker đã tạo ra một hợp đồng thông minh chứa giao dịch gửi tiền vào một sàn giao dịch tập trung. Hợp đồng được thiết kế sao cho giao dịch chính thành công nhưng tiền đặt cọc sẽ được hoàn lại.

Điều này đánh lừa sàn giao dịch khiến sàn giao dịch nghĩ rằng người dùng đã gửi tiền trong khi họ chưa gửi tiền. Sau đó, hacker yêu cầu rút tiền khỏi sàn giao dịch, ghi nợ số tiền gửi giả.

Hồ sơ onchain cho thấy nhiều nỗ lực sử dụng hợp đồng như vậy khi gửi tiền vào Binance diễn ra trên Chuỗi BNB vào ngày 17 tháng 5.

Trong khoảng thời gian từ ngày 29 tháng 5 đến ngày 5 tháng 6, cùng một địa chỉ, cũng như một địa chỉ khác được tài trợ bởi nó, đã thực hiện các nỗ lực tương tự trên OKX, BingX và Gate.io trên Chuỗi BNB, Arbitrum và Optimism.

CertiK có liên quan không?

Mặc dù CertiK lần đầu tiên tiết lộ công khai cuộc tấn công hoàn nguyên nhưng không có bằng chứng nào cho thấy nó có liên quan đến các cuộc tấn công trước đó.

Mỗi chức năng hợp đồng thông minh đều có cái gọi là hàm băm chữ ký mà chúng có thể được xác định.

Trong trường hợp hợp đồng tấn công hoàn nguyên, hàm băm chữ ký không có sẵn, có nghĩa là tên của hàm không được biết đến một cách công khai, một nhà nghiên cứu bảo mật muốn giấu tên nói với DL News.

Điều này có nghĩa là tên chức năng của cuộc tấn công hoàn nguyên đã được CertiK biết hoặc ai đó khác cũng đã sử dụng chính xác tên đó, nhà nghiên cứu cho biết.

Tim Craig là Phóng viên DeFi có trụ sở tại Edinburgh của DL News. Hãy liên hệ với anh ấy bằng các mẹo tại tim@dlnews.com.