区块链安全公司 CertiK 证实,其存在漏洞,导致 Kraken 中价值 300 万美元的代币被未经授权提取。
总部位于纽约的区块链安全公司 CertiK 承认其利用了一个漏洞,导致 Kraken 加密货币交易所未经授权提取了价值 300 万美元的代币。
CertiK 在 6 月 19 日的 X 帖子中透露,它已发现 Kraken 交易所中存在一系列“严重漏洞”,这些漏洞“可能导致数亿美元的损失”。
CertiK 最近在 @krakenfx 交易所中发现了一系列严重漏洞,这些漏洞可能会导致数亿美元的损失。从 @krakenfx 存款系统中发现的漏洞开始,它可能无法区分不同的内部......pic.twitter.com/JZkMXj2ZCD
— CertiK (@CertiK) 2024 年 6 月 19 日
据 CertiK 称,该问题于 6 月 5 日首次发现,Kraken 未能通过多次测试,表明该交易所的纵深防御系统“在多个方面受到了损害”。该公司特别指出,它设法绕过了交易所的提款风险控制,而没有触发任何警报。
“大量伪造的加密货币(价值超过 100 万美元)可以从账户中提取并转换为有效加密货币。更糟糕的是,在多日的测试期间没有触发任何警报。在我们正式报告事件几天后,Kraken 才做出回应并锁定了测试账户。”
认证
你可能还喜欢:Kraken 首席安全官透露,UX 更改导致价值 300 万美元的漏洞利用
在发现这些漏洞后,CertiK 声称已通知 Kraken,后者的安全团队将该问题归类为“严重”。然而,在发现并修复漏洞后,CertiK 声称 Kraken 的安全运营团队“威胁”了 CertiK 的个别员工,要求在“不合理的时间内偿还不匹配的加密货币金额,甚至不提供还款地址。”
CertiK 敦促 Kraken“停止对白帽黑客的任何威胁”,并声称其“本着透明精神”致力于 web3 社区。然而,这一事件在区块链社区引发了争议和怀疑,因为区块链研究人员强调了 CertiK 的时间表和声明中的矛盾之处。
哈哈哈,你这群混蛋,绝对不存在什么“白帽安全研究”的宇宙,Kraken 非常有耐心,没有直接说出它的真正含义:数百万美元的盗窃,还有敲诈勒索。
— 泰 💖 (@tayvano_) 2024 年 6 月 19 日
正如 Cyvers 首席技术官 Meir Dolev 在其 X 账户上所指出的那样,在 Kraken 事件首次报道之前的几周,与 CertiK 相关联的地址就开始在多个区块链网络上出现可疑活动,这引发了人们对 CertiK 提供的时间表的质疑。
继 @krakenfx 事件之后,26 天前基地也开始出现类似活动!!14 天前 Polygon 也使用了相同的签名哈希。那么我们是否应该相信 Cetik 时间线,即他们仅在 6 月 5 日发现了该漏洞?@tayvano_ pic.twitter.com/cvAnVrTg67
— 梅厄·多列夫 (@Meir_Dv) 2024 年 6 月 19 日
在 CertiK 帖子的后续帖子中,Coinbase 总监 Conor Grogan 指出,与 CertiK 关联的地址将部分提取的加密货币发送到 Tornado Cash,这是一项混合服务,因自 2019 年以来协助进行约 70 亿美元的加密货币洗钱而受到美国财政部外国资产控制办公室 (OFAC) 的批准。
报告还称,与 CertiK 相关的地址将部分提取的加密货币发送到非托管加密货币交易所 ChangeNOW。截至发稿时,CertiK 尚未公开声明其与 Tornado Cash 和 ChangeNOW 互动的原因,尽管它声称已将所有提取的代币退还给 Kraken。
阅读更多:Telegram 驳斥 CertiK 的自动下载安全风险声明
