CertiK-forskere knyttet til Krakens angreb på 3 millioner dollars

Efter det rapporterede tab på $ 3 millioner fra Kraken-børsens statskasse har smart kontraktrevisor CertiK afsløret en tilknytning til hændelsen.

Handelsplatformen forsøgte straks at inddrive midlerne, men tyede til retshåndhævelse med henvisning til et tilfælde af afpresning.

CertiK deler perspektiv på Krakens tab

Kraken-børsens seneste bugangreb på 3 millioner dollars er blevet knyttet til smart kontraktrevisionsfirma CertiK, som bekræftede foreningen. De opdagede en række kritiske sårbarheder, der potentielt kunne føre til hundreder af millioner af dollars i tab.

Efter opdagelsen tog forskerne initiativ til at udforske sårbarheden, med tre spørgsmål, der drev deres forskning.

• Kan en ondsindet aktør fabrikere en indbetalingstransaktion til en Kraken-konto?
• Kan en ondsindet aktør hæve fabrikerede midler?
• Hvilken risikokontrol og aktivbeskyttelse kan udløse fra en stor udbetalingsanmodning?

Læs mere: Kraken Review 2024: Sikkerhed og funktioner

Ifølge CertiK dumpede handelsplatformen alle testene, hvilket fik den til at konkludere, at Krakens “forsvarsdybdesystem er kompromitteret på flere fronter.”

“Ifølge vores testresultat: Kraken-udvekslingen dumpede alle disse tests, hvilket indikerer, at Krakens forsvarsdybdesystem er kompromitteret på flere fronter. Millioner af dollars kan deponeres på enhver Kraken-konto. En enorm mængde fabrikeret krypto (værd mere end 1M + USD) kan trækkes tilbage fra kontoen og konverteres til gyldige kryptoer. Endnu værre blev der ikke udløst nogen advarsler i løbet af testperioden på flere dage. Kraken reagerede først og låste testkontiene dage efter, at vi officielt rapporterede hændelsen,” lød rapporten som fremhævet i et indlæg.

CertiK præsenterede disse resultater for Kraken Exchange, hvis sikkerhedsteam klassificerede dem som “kritiske”, det mest alvorlige klassifikationsniveau på handelsplatformen. Desværre kulminerede det hele i en sag, der krævede involvering af retshåndhævelse.

“Krakens sikkerhedsdriftsteam truede individuelle CertiK-medarbejdere til at tilbagebetale en uoverensstemmende mængde krypto på en urimelig tid, selv uden at give tilbagebetalingsadresser. Den mundtlige enighed, der blev opnået under vores møde, blev ikke bekræftet bagefter. I sidste ende beskyldte de os offentligt for tyveri og truede endda direkte vores medarbejdere, hvilket er helt uacceptabelt,” fortalte CertiK BeInCrypto.

CertiK har opfordret Kraken til at stoppe truslerne mod deres persona, som kaldes “Whitehat-hackere.” Den smarte kontraktrevisor har delt alle testindbetalingstransaktioner. De tilføjede, at de flyttede alle midler til en tilgængelig konto hos Kraken.

Charles Guillemet, CTO hos Ledger, hardware-tegnebogproducenten, erkendte, at sikkerhedsstandarder på tværs af centraliserede børser forbliver inkonsekvente. Han bemærkede også, at den nylige hændelse skulle tjene som en påmindelse til brugerne om, at børser foretages for at handle, ikke for at gemme krypto.

«Store kryptobørser, herunder Kraken, har gjort et godt stykke arbejde med at forbedre deres sikkerhedsstilling. Barren for sikkerhed forbliver dog ujævn i landskabet af centraliserede børser. Selve karakteren af kryptokurver og blockchain-uforanderlighed gør sikkerhedsproblemet meget udfordrende. Børser bør adskille tegnebøger og have forskellige tegnebøger til forskellige anvendelser. De bør også implementere organisatoriske sikkerhedsforanstaltninger, detektion, alarmering og så videre,” delte Guillemet med BeInCrypto.

Revisor bliver Dømt for $3 millioner fejlangreb

På trods af CertiKs bestræbelser på at kaste lys over sagen har kryptosamfundet kritiseret forskerne og kaldt dem for fejlbehandling. En bruger bemærker, at “stemningen omkring denne historie ville have været mere positiv, hvis den var løst venlig med Kraken og postede om den efter.”

Udvikler Uttam Singhs resumé af begivenheden latterliggjorde flere aspekter, der får sagen til at vippe yderligere mod CertiK. Han fremhæver det faktum, at forskerne udførte flere transaktioner, og at de ventede fem dage med at afsløre.

Ifølge Cyvers CTO Meir Dolev, en Certik-associeret adresse oprettet en kontrakt på Coinbase Layer-2 netværk Base den 24. maj. Dette sår tvivl om Certiks påstand om, at sårbarheden blev opdaget den 5. juni. Efter sigende tester adressen også OKX og Coinbase for at se, om der er den samme sårbarhed som Kraken.

Læs mere: Top 5 fejl i kryptosikkerhed og hvordan man undgår dem

Baseret på samfundets reaktion er den generelle følelse, at handlingen ikke var en Whitehat-sikkerhedsforskning, hvor engagement på sociale medier citerer beviser på kæden. Ikke desto mindre afsporede dette ikke CertiKs serie B3-finansieringsrunde, som fik en svimlende $ 88 millioner.

Blandt lederne i finansieringsrunden er Insight Partners, Tiger Global og Advent International. Goldman Sachs, Sequoia og Lightspeed Venture Partners deltog også. Bemærkelsesværdigt markerede det CertiKs fjerde runde af kapital rejst på ni måneder, i alt $ 230 millioner.