據多名加密安全專家稱,Kraken 表示其修復的漏洞早在上個月就已被用於利用其他中心化交易所。
這是美國交易所 Kraken 和審計機構 CertiK 這兩個主要加密貨幣參與者傳奇故事的最新進展。
週三,Kraken 表示,它修復了一個「嚴重」漏洞,該漏洞導致數百萬美元的加密貨幣被錯誤地從這家美國交易所提取。
CertiK 在承認利用漏洞的幕後黑手後遭到了批評。 6 月初,該公司在幾天內從 Kraken 撤回了 300 萬美元。
經過公開的反覆交涉後,CertiK 歸還了所有資金,並稱其行爲是白帽行動,這意味着他們表面上以道德黑客的身份行事,目的是識別和修復安全漏洞,而不是將其用於惡意目的。
安全平臺 Hexagate 首次發現的 Onchain 記錄,並由多位其他安全研究人員向 DL News 證實,該記錄顯示,早在 5 月 17 日,黑客就試圖利用同一漏洞利用其他加密貨幣交易所——Binance、OKX、BingX 和 Gate.io。
這些嘗試發生在 CertiK 於 6 月 5 日表示發現 Kraken 漏洞的三週前。
Hexagate 在 X 上發文稱:“我們沒有證據表明這些交易所受到了影響。我們只是追蹤到了類似活動的鏈上證據。”
中心化加密貨幣交易所爲客戶持有大量加密貨幣。根據 DefiLlama 的數據,已公開披露錢包地址的前五大加密貨幣交易所共持有價值 1720 億美元的加密貨幣。
CertiK 尚未立即迴應 DL News 的評論請求。
嘗試利用漏洞
Hexagate 重點展示的記錄顯示,一名黑客試圖使用所謂的“還原”攻擊來誘騙中心化交易所允許他們提取資金。
爲了實現這一目標,黑客創建了一個智能合約,其中包含向中心化交易所存入資金的交易。合約的設計使得主交易成功,但存款被退回。
這會欺騙交易所,讓交易所以爲用戶已經存入資金,但實際上並沒有。然後黑客會要求交易所提款,扣除虛假的存款金額。
Onchain 記錄顯示,5 月 17 日,在 BNB Chain 上向幣安存入資金時多次嘗試使用此類合約。
5 月 29 日至 6 月 5 日期間,同一地址以及由其資助的另一個地址在 BNB Chain、Arbitrum 和 Optimism 上對 OKX、BingX 和 Gate.io 進行了類似的嘗試。
CertiK 參與了嗎?
儘管 CertiK 首先公開披露了此次回滾攻擊,但沒有證據表明它參與了早期的攻擊。
每個智能合約功能都有一個所謂的簽名哈希,可以用來識別。
一位不願透露姓名的安全研究人員告訴 DL News,在恢復攻擊合約的情況下,簽名哈希不可用,這意味着該函數的名稱不爲公衆所知。
研究人員表示,這意味着 CertiK 知道恢復攻擊的函數名稱,或者其他人也使用了完全相同的名稱。
Tim Craig 是 DL News 駐愛丁堡的 DeFi 通訊員。如需建議,請通過 tim@dlnews.com 與他聯繫。
