CertiK признает эксплойт Kraken на 3 миллиона долларов и вызывает удивление за отправку криптовалюты в Tornado Cash

Самые главные криптоновости в Телеграм-канале CryptoMoon, присоединяйтесь!👇

Cryptomoon Telegram


Как опытный аналитик по кибербезопасности, я нахожу ситуацию между CertiK и Kraken весьма интригующей, но тревожной. Хотя CertiK утверждает, что обнаружила критические уязвимости в бирже Kraken, которые потенциально могут привести к значительным потерям, хронология событий и некоторые их действия вызывают вопросы.


Как криптоинвестор, я бы сказал это так: недавно я узнал, что проблема безопасности в моих цифровых активах была использована, что привело к несанкционированному выводу токенов на сумму около 3 миллионов долларов с платформы Kraken. Ответственной стороной за это нарушение стала CertiK, фирма, занимающаяся безопасностью блокчейнов.

CertiK, нью-йоркская компания, занимающаяся безопасностью блокчейнов, призналась, что несет ответственность за эксплойт, который привел к незаконному выводу токенов на сумму около 3 миллионов долларов с биржи цифровых активов Kraken.

Будучи исследователем CertiK, я выявил ряд существенных уязвимостей в бирже Kraken в ходе нашего анализа 19 июня. Эти слабости могли привести к существенным финансовым потерям, потенциально достигающим сотен миллионов долларов.

Как аналитик, я обнаружил несколько существенных уязвимостей в системах биржи KrakenFX, как сообщает CertiK. Одна из этих уязвимостей кроется в депозитной системе и потенциально может привести к значительным финансовым потерям, достигающим сотен миллионов долларов, если ее не устранить. В этом конкретном случае депозитная система может не эффективно различать различные внутренние транзакции.

— CertiK (@CertiK), 19 июня 2024 г.

Как аналитик по безопасности в CertiK, я обнаружил проблему с биржей Kraken еще 5 июня. В ходе нашей оценки мы обнаружили, что система глубокоэшелонированной защиты Кракена была взломана с нескольких сторон. Нашей команде удалось незаметно обойти меры контроля риска вывода средств биржи, что вызвало обеспокоенность по поводу эффективности их мер безопасности.

Как исследователь, исследующий эту проблему, я сделал тревожный вывод: сфабрикованную криптовалюту на сумму более миллиона долларов можно снять со счета и обменять на законные криптовалюты. Это было обнаружено в ходе планового тестирования, однако за многодневный период никаких предупреждений не поступало. Только после того, как мы официально сообщили об инциденте, Kraken принял меры и защитил тестовые аккаунты.

СертиК

Обнаружив дефекты, CertiK уведомила об этом отдел безопасности Kraken, который счел проблему «критической». Впоследствии, как только эксплойт был устранен, CertiK утверждает, что сотрудники службы безопасности Kraken оказывали давление на сотрудников CertiK, требуя чрезмерного количества криптовалюты в течение короткого периода времени, не предоставляя адреса погашения.

CertiK потребовала, чтобы Kraken прекратил любые угрозы этическим хакерам, подтвердив свою приверженность сообществу web3 в интересах прозрачности. Тем не менее, эта ситуация вызвала споры и сомнения среди энтузиастов блокчейна, поскольку эксперты выявили несоответствия в отчетах и ​​заявлениях CertiK.

Неудержимо смеясь, вы абсолютно неправы, называя такое поведение «белым исследованием безопасности».

Ни в каком мыслимом сценарии ситуация с Кракеном не может квалифицироваться как таковая.

Кракен проявил замечательную сдержанность, не сразу заклеймив это как крупномасштабную кражу с элементом вымогательства.

— Тай (@tayvano_), 19 июня 2024 г.

По словам Меира Долева, технического директора Cyver, примерно в то время, когда впервые было сообщено об инциденте с Kraken, в учетной записи CertiK X, связанной с несколькими сетями блокчейнов, появились признаки подозрительной активности. Это открытие вызывает сомнения в последовательности событий, раскрытых CertiK.

После инцидента @krakenfx примерно 26 дней назад на базе были выявлены аналогичные действия. Тот же подозрительный хэш был обнаружен на Polygon около 14 дней назад. Таким образом, возможно ли, что Cetik обнаружил уязвимость уже 5 июня в соответствии с заявленным графиком?

— Меир Долев (@Meir_Dv), 19 июня 2024 г.

Как крипто-инвестор, следящий за веткой CertiK, я наткнулся на тревожное сообщение от директора Coinbase Конора Грогана. В последующем сообщении он сообщил, что некоторые адреса, связанные с CertiK, перевели часть своих выведенных криптовалют в Tornado Cash — сервис микширования, находящийся под санкциями Управления по контролю за иностранными активами Министерства финансов США (OFAC). По оценкам, с 2019 года эта платформа способствовала отмыванию криптовалюты на сумму около 7 миллиардов долларов. Это раскрытие поднимает вопросы о мерах безопасности и соответствия требованиям, реализуемых CertiK.

В сообщениях утверждается, что адреса, связанные с CertiK, перевели часть похищенной криптовалюты на децентрализованную биржу ChangeNOW. В настоящее время CertiK хранит молчание относительно своего взаимодействия с Tornado Cash и ChangeNOW. Однако они утверждают, что все выведенные токены были возвращены Kraken.

Смотрите также

2024-06-20 11:28