Etter det rapporterte tapet på 3 millioner dollar fra Kraken-børsens statskasse, har smart kontraktsrevisor CertiK avslørt en tilknytning til hendelsen.
Handelsplattformen prøvde å gjenopprette midlene umiddelbart, men tydde til rettshåndhevelse, med henvisning til et tilfelle av utpressing.
CertiK deler perspektiv på Krakens tap
Kraken-børsens nylige feilangrep på 3 millioner dollar har vært knyttet til smart kontraktrevisjonsfirma CertiK, som bekreftet foreningen. De oppdaget en rekke kritiske sårbarheter som potensielt kan føre til hundrevis av millioner dollar i tap.
Etter oppdagelsen tok forskerne initiativ til å utforske sårbarheten, med tre spørsmål som drev forskningen.
- Kan en ondsinnet aktør fabrikkere en innskuddstransaksjon til en Kraken-konto?
- Kan en ondsinnet aktør ta ut fabrikkerte midler?
- Hvilke risikokontroller og aktivabeskyttelse kan utløse fra en stor uttaksforespørsel?
Les mer: Kraken Review 2024: Sikkerhet og funksjoner
I følge CertiK mislyktes handelsplattformen alle testene, noe som førte til at den konkluderte med at Krakens “forsvarsdybdesystem er kompromittert på flere fronter.”
“Ifølge vårt testresultat: Kraken-børsen mislyktes i alle disse testene, noe som indikerer at Krakens forsvarsdybdesystem er kompromittert på flere fronter. Millioner av dollar kan settes inn på ALLE Kraken-kontoer. En enorm mengde fabrikkert krypto (verdt mer enn 1M+ USD) kan tas ut fra kontoen og konverteres til gyldige kryptoer. Verre ennå, ingen varsler ble utløst i løpet av den flere dager lange testperioden. Kraken reagerte bare og låste testkontoene dager etter at vi offisielt rapporterte hendelsen», heter det i rapporten i et innlegg.
CertiK presenterte disse funnene for Kraken Exchange, hvis sikkerhetsteam klassifiserte dem som “kritiske”, det mest seriøse klassifiseringsnivået på handelsplattformen. Dessverre kulminerte det hele i en sak som krevde involvering av rettshåndhevelse.
“Krakens sikkerhetsoperasjonsteam truet individuelle CertiK-ansatte til å tilbakebetale en uoverensstemmende mengde krypto på en urimelig tid, selv uten å oppgi tilbakebetalingsadresser. Den muntlige enigheten som ble oppnådd under vårt møte ble ikke bekreftet etterpå. Til slutt anklaget de oss offentlig for tyveri og truet til og med våre ansatte direkte, noe som er helt uakseptabelt, sier CertiK til BeInCrypto.
CertiK har oppfordret Kraken til å stanse truslene mot deres person, som kalles «Whitehat-hackere». Den smarte kontraktsrevisoren har delt alle testinnskuddstransaksjoner. De la til at de flyttet alle midler til en tilgjengelig konto hos Kraken.
Charles Guillemet, CTO hos Ledger, produsenten av maskinvarelommeboken, erkjente at sikkerhetsstandarder på tvers av sentraliserte børser forblir inkonsekvente. Han bemerket også at den nylige hendelsen skal tjene som en påminnelse til brukerne om at børser er laget for å handle, ikke for å lagre krypto.
«Store kryptobørser, inkludert Kraken, har gjort en god jobb med å forbedre sikkerhetsstillingen. Imidlertid forblir baren for sikkerhet ujevn i landskapet av sentraliserte børser. Selve naturen til cryptocururrency og blockchain uforanderlighet gjør sikkerhetsproblemet svært utfordrende. Børser bør skille lommebøker, og ha forskjellige lommebøker for forskjellige bruksområder. De bør også implementere organisatoriske sikkerhetstiltak, deteksjon, varsling og så videre, “delte Guillemet med BeInCrypto.
Revisor blir Dømt for $ 3 millioner Bug-Attack
Til tross for CertiKs innsats for å belyse saken, har kryptosamfunnet kritisert forskerne og kalt dem ut for feilbehandling. En bruker observerer at “følelsen rundt denne historien ville vært mer positiv hvis den ble løst vennlig med Kraken og lagt ut om det etterpå.”
Utvikler Uttam Singhs oppsummering av arrangementet latterliggjorde flere aspekter som får saken til å vippe ytterligere mot CertiK. Han trekker frem at forskerne gjennomførte flere transaksjoner, og at de ventet fem dager før de ble offentliggjort.
I følge Cyvers CTO Meir Dolev opprettet en Certik-assosiert adresse en kontrakt på Coinbase Layer-2-nettverksbasen 24. Dette sådde tvil om Certiks påstand om at sårbarheten ble oppdaget 5. Etter sigende tester adressen også OKX og Coinbase for å se om det er samme sårbarhet som Kraken.
Les mer: Topp 5 feil i kryptosikkerhet og hvordan du kan unngå dem
Basert på samfunnets reaksjon er den generelle følelsen at handlingen ikke var en Whitehat-sikkerhetsforskning, med engasjement på sosiale medier som siterer bevis på kjeden. Likevel avsporet dette ikke CertiKs serie B3-finansieringsrunde, som fikk sterke 88 millioner dollar.
Blant lederne i finansieringsrunden er Insight Partners, Tiger Global og Advent International. Goldman Sachs, Sequoia og Lightspeed Venture Partners deltok også. Bemerkelsesverdig markerte det CertiKs fjerde kapitalrunde på ni måneder, totalt 230 millioner dollar.
Trusted
Disclaimer
Alle informatie op onze website wordt te goeder trouw en uitsluitend voor algemene informatiedoeleinden gepubliceerd. Elke actie die de lezer onderneemt op basis van de informatie op onze website is strikt op eigen risico.
