區塊鏈安全公司 CertiK 證實,其存在漏洞,導致 Kraken 中價值 300 萬美元的代幣被未經授權提取。
總部位於紐約的區塊鏈安全公司 CertiK 承認其利用了一個漏洞,導致 Kraken 加密貨幣交易所未經授權提取了價值 300 萬美元的代幣。
CertiK 在 6 月 19 日的 X 帖子中透露,它已發現 Kraken 交易所中存在一系列“嚴重漏洞”,這些漏洞“可能導致數億美元的損失”。
CertiK 最近在 @krakenfx 交易所中發現了一系列嚴重漏洞,這些漏洞可能會導致數億美元的損失。從 @krakenfx 存款系統中發現的漏洞開始,它可能無法區分不同的內部......pic.twitter.com/JZkMXj2ZCD
— CertiK (@CertiK) 2024 年 6 月 19 日
據 CertiK 稱,該問題於 6 月 5 日首次發現,Kraken 未能通過多次測試,表明該交易所的縱深防禦系統“在多個方面受到了損害”。該公司特別指出,它設法繞過了交易所的提款風險控制,而沒有觸發任何警報。
“大量僞造的加密貨幣(價值超過 100 萬美元)可以從賬戶中提取並轉換爲有效加密貨幣。更糟糕的是,在多日的測試期間沒有觸發任何警報。在我們正式報告事件幾天後,Kraken 才做出迴應並鎖定了測試賬戶。”
認證
你可能還喜歡:Kraken 首席安全官透露,UX 更改導致價值 300 萬美元的漏洞利用
在發現這些漏洞後,CertiK 聲稱已通知 Kraken,後者的安全團隊將該問題歸類爲“嚴重”。然而,在發現並修復漏洞後,CertiK 聲稱 Kraken 的安全運營團隊“威脅”了 CertiK 的個別員工,要求在“不合理的時間內償還不匹配的加密貨幣金額,甚至不提供還款地址。”
CertiK 敦促 Kraken“停止對白帽黑客的任何威脅”,並聲稱其“本着透明精神”致力於 web3 社區。然而,這一事件在區塊鏈社區引發了爭議和懷疑,因爲區塊鏈研究人員強調了 CertiK 的時間表和聲明中的矛盾之處。
哈哈哈,你這羣混蛋,絕對不存在什麼“白帽安全研究”的宇宙,Kraken 非常有耐心,沒有直接說出它的真正含義:數百萬美元的盜竊,還有敲詐勒索。
— 泰 💖 (@tayvano_) 2024 年 6 月 19 日
正如 Cyvers 首席技術官 Meir Dolev 在其 X 賬戶上所指出的那樣,在 Kraken 事件首次報道之前的幾周,與 CertiK 相關聯的地址就開始在多個區塊鏈網絡上出現可疑活動,這引發了人們對 CertiK 提供的時間表的質疑。
繼 @krakenfx 事件之後,26 天前基地也開始出現類似活動!!14 天前 Polygon 也使用了相同的簽名哈希。那麼我們是否應該相信 Cetik 時間線,即他們僅在 6 月 5 日發現了該漏洞?@tayvano_ pic.twitter.com/cvAnVrTg67
— 梅厄·多列夫 (@Meir_Dv) 2024 年 6 月 19 日
在 CertiK 帖子的後續帖子中,Coinbase 總監 Conor Grogan 指出,與 CertiK 關聯的地址將部分提取的加密貨幣發送到 Tornado Cash,這是一項混合服務,因自 2019 年以來協助進行約 70 億美元的加密貨幣洗錢而受到美國財政部外國資產控制辦公室 (OFAC) 的批准。
報告還稱,與 CertiK 相關的地址將部分提取的加密貨幣發送到非託管加密貨幣交易所 ChangeNOW。截至發稿時,CertiK 尚未公開聲明其與 Tornado Cash 和 ChangeNOW 互動的原因,儘管它聲稱已將所有提取的代幣退還給 Kraken。
閱讀更多:Telegram 駁斥 CertiK 的自動下載安全風險聲明
