Kraken-pörssin kassasta raportoidun 3 miljoonan dollarin tappion jälkeen älysopimustarkastaja CertiK on paljastanut yhteyden tapaukseen.
Kaupankäyntialusta yritti saada varat takaisin välittömästi, mutta turvautui lainvalvontaan vedoten kiristystapaukseen.
CertiKin näkökulma Krakenin tappioon
Kraken-pörssin äskettäinen 3 miljoonan dollarin bugihyökkäys on yhdistetty älysopimusten tilintarkastusyritykseen CertiK, joka vahvisti yhdistyksen. He löysivät sarjan kriittisiä haavoittuvuuksia, jotka voivat johtaa satojen miljoonien dollarien tappioihin.
tulosten jälkeen tutkijat tekivät aloitteen haavoittuvuuden tutkimiseksi, ja kolme kysymystä ohjasi tutkimusta.
- Voiko pahantahtoinen toimija valmistaa talletustapahtuman Kraken-tilille?
- Voiko pahantahtoinen toimija nostaa tekaistuja varoja?
- Mitä riskienhallintaa ja omaisuuden suojausta voi laukaista suuri nostopyyntö?
Lue lisää: Kraken arvostelu 2024: Turvallisuus ja ominaisuudet
CertiK:n mukaan kaupankäyntialusta epäonnistui kaikissa testeissä, mikä johti siihen johtopäätökseen, että Krakenin “syvyyssuuntainen puolustusjärjestelmä on vaarantunut useilla rintamilla”.
“Testituloksemme mukaan: Kraken-pörssi epäonnistui kaikissa testeissä, mikä osoittaa, että Krakenin syvyyssuuntainen puolustusjärjestelmä on vaarantunut useilla rintamilla. Miljoonia dollareita voidaan tallettaa MILLE TAHANSA Kraken-tilille. Valtava määrä valmistettua kryptoa (arvo yli 1M+ USD) voidaan nostaa tililtä ja muuntaa kelvollisiksi kryptoiksi. Vielä pahempaa on se, että
hälytyksiä ei annettu monipäiväisen testausjakson aikana. Kraken vastasi ja lukitsi testitilit vasta päiviä sen jälkeen, kun olimme virallisesti ilmoittaneet tapauksesta”, raportissa luki viestissä korostettuna.
CertiK esitteli havainnot Kraken Exchangelle, jonka tietoturvatiimi luokitteli “kriittisiksi”, vakavimmaksi luokitustasoksi kaupankäyntialustalla. Kaikki huipentui tapaukseen, joka vaati lainvalvontaviranomaisten osallistumista.
“Krakenin turvallisuusoperaatiotiimi uhkasi yksittäisiä CertiK:n työntekijöitä maksamaan takaisin yhteensopimattoman määrän kryptoa kohtuuttomassa ajassa, vaikka takaisinmaksuosoitteita ei annettaisikaan. Kokouksessamme saavutettua suullista yksimielisyyttä ei vahvistettu jälkeenpäin. He syyttivät julkisesti varkaudesta ja jopa uhkasivat suoraan työntekijöitämme, mikä on täysin mahdotonta hyväksyä”, CertiK kertoi BeInCryptolle.
CertiK on kehottanut Krakenia lopettamaan uhkaukset heidän persoonaansa vastaan, jota kutsutaan “valkohattuhakkereiksi”. Älysopimustarkastaja on jakanut kaikki testaustalletustapahtumat. Lisäksi he siirsivät kaikki varat helposti saatavilla olevalle Kraken-tilille.
Tilintarkastaja tuomittiin 3 miljoonan dollarin bugihyökkäyksestä
Vaikka CertiK yritti kertoa asiasta, kryptoyhteisö on kritisoinut tutkijoita ja syyttänyt väärinkäytöksistä. Yksi käyttäjä huomauttaa, että ” Tämän tarinan ympärillä vallitseva ilmapiiri olisi ollut myönteisempi, jos se olisi ratkaistu ystävällisesti Krakenin kanssa ja julkaistu sen jälkeen”.
Kehittäjä Uttam Singhin yhteenveto tapahtumasta pilkkasi useita näkökohtia, jotka saavat tapauksen kallistumaan edelleen CertiK: tä vastaan. Hän korostaa, että tutkijat suorittivat useita tapahtumia ja että he odottivat viisi päivää ennen paljastamista.
Cyversin teknologiajohtaja Meir Dolevin mukaan Certikiin liittyvä osoite loi sopimuksen Coinbase Layer-2 -verkkotukikohtaan 24. toukokuuta. Tämä kyseenalaistaa Certikin väitteen, jonka mukaan haavoittuvuus löydettiin 5. kesäkuuta. Tietojen mukaan osoite testaa myös OKX: ää ja Coinbasea nähdäkseen, onko sama haavoittuvuus kuin Kraken.
Lue lisää: Kryptoturvallisuuden 5 puutetta ja miten välttää niitä
Yhteisön reaktion perusteella yleinen mielipide on, että toiminta ei ollut Whitehat-turvallisuustutkimus, ja sosiaalisen median sitoutuminen viittasi ketjun todisteisiin. Tämä ei kuitenkaan suistanut CertiK:n B3-sarjan rahoituskierrosta, joka keräsi jyrkät 88 miljoonaa dollaria.
Rahoituskierroksen kärjessä ovat muun muassa Insight Partners, Tiger Global ja Advent International. Goldman Sachs, Sequoia ja Lightspeed Venture Partners osallistuivat myös. Ne merkitsivät CertiK:n neljättä pääomakierrosta yhdeksän kuukauden aikana, yhteensä 230 miljoonaa dollaria.
Vastuuvapauslauseke
Kaikki verkkosivustollamme olevat tiedot julkaistaan vilpittömässä mielessä ja ainoastaan yleiseen tiedottamiseen. Lukijan on toimittava verkkosivustomme tietojen perusteella täysin omalla vastuullaan.
