据多名加密安全专家称,Kraken 表示其修复的漏洞早在上个月就已被用于利用其他中心化交易所。
这是美国交易所 Kraken 和审计机构 CertiK 这两个主要加密货币参与者传奇故事的最新进展。
周三,Kraken 表示,它修复了一个「严重」漏洞,该漏洞导致数百万美元的加密货币被错误地从这家美国交易所提取。
CertiK 在承认利用漏洞的幕后黑手后遭到了批评。 6 月初,该公司在几天内从 Kraken 撤回了 300 万美元。
经过公开的反复交涉后,CertiK 归还了所有资金,并称其行为是白帽行动,这意味着他们表面上以道德黑客的身份行事,目的是识别和修复安全漏洞,而不是将其用于恶意目的。
安全平台 Hexagate 首次发现的 Onchain 记录,并由多位其他安全研究人员向 DL News 证实,该记录显示,早在 5 月 17 日,黑客就试图利用同一漏洞利用其他加密货币交易所——Binance、OKX、BingX 和 Gate.io。
这些尝试发生在 CertiK 于 6 月 5 日表示发现 Kraken 漏洞的三周前。
Hexagate 在 X 上发文称:“我们没有证据表明这些交易所受到了影响。我们只是追踪到了类似活动的链上证据。”
中心化加密货币交易所为客户持有大量加密货币。根据 DefiLlama 的数据,已公开披露钱包地址的前五大加密货币交易所共持有价值 1720 亿美元的加密货币。
CertiK 尚未立即回应 DL News 的评论请求。
尝试利用漏洞
Hexagate 重点展示的记录显示,一名黑客试图使用所谓的“还原”攻击来诱骗中心化交易所允许他们提取资金。
为了实现这一目标,黑客创建了一个智能合约,其中包含向中心化交易所存入资金的交易。合约的设计使得主交易成功,但存款被退回。
这会欺骗交易所,让交易所以为用户已经存入资金,但实际上并没有。然后黑客会要求交易所提款,扣除虚假的存款金额。
Onchain 记录显示,5 月 17 日,在 BNB Chain 上向币安存入资金时多次尝试使用此类合约。
5 月 29 日至 6 月 5 日期间,同一地址以及由其资助的另一个地址在 BNB Chain、Arbitrum 和 Optimism 上对 OKX、BingX 和 Gate.io 进行了类似的尝试。
CertiK 参与了吗?
尽管 CertiK 首先公开披露了此次回滚攻击,但没有证据表明它参与了早期的攻击。
每个智能合约功能都有一个所谓的签名哈希,可以用来识别。
一位不愿透露姓名的安全研究人员告诉 DL News,在恢复攻击合约的情况下,签名哈希不可用,这意味着该函数的名称不为公众所知。
研究人员表示,这意味着 CertiK 知道恢复攻击的函数名称,或者其他人也使用了完全相同的名称。
Tim Craig 是 DL News 驻爱丁堡的 DeFi 通讯员。如需建议,请通过 tim@dlnews.com 与他联系。
