Efter den rapporterade förlusten på 3 miljoner dollar från Kraken-börsens kassa har revisorn för smarta kontrakt CertiK avslöjat ett samband med händelsen.
Handelsplattformen försökte återvinna pengarna omedelbart men tillgrep brottsbekämpning, med hänvisning till ett fall av utpressning.
CertiK delar med sig av perspektivet på Krakens förlust
Kraken-börsens senaste buggattack på 3 miljoner dollar har kopplats till revisionsföretaget CertiK för smarta kontrakt, som bekräftade föreningen. De upptäckte en rad kritiska sårbarheter som potentiellt kan leda till hundratals miljoner dollar i förluster.
Efter upptäckten tog forskarna initiativ till att utforska sårbarheten, med tre frågor som driver deras forskning.
- Kan en illvillig aktör fabricera en insättningstransaktion till ett Kraken-konto?
- Kan en illvillig aktör ta ut fabricerade medel?
- Vilka riskkontroller och tillgångsskydd kan utlösas av en stor uttagsbegäran?
Läs mer: Kraken Review 2024: Säkerhet och funktioner
Enligt CertiK misslyckades handelsplattformen med alla tester, vilket ledde till slutsatsen att Krakens “djupgående försvarssystem äventyras på flera fronter.”
“Enligt vårt testresultat: Kraken-börsen misslyckades med alla dessa tester, vilket tyder på att Krakens djupförsvarssystem är komprometterat på flera fronter. Miljontals dollar kan sättas in på ALLA Kraken-konton. En enorm mängd fabricerad krypto (värd mer än 1M+ USD) kan tas ut från kontot och konverteras till giltiga kryptor. Ännu värre är att inga varningar utlöstes under den flera dagar långa testperioden. Kraken svarade och låste testkontona först dagar efter att vi officiellt rapporterat händelsen”, står det i rapporten som lyfts fram i ett inlägg.
CertiK presenterade dessa resultat för Kraken Exchange, vars säkerhetsteam klassificerade dem som “kritiska”, den allvarligaste klassificeringsnivån på handelsplattformen. Tyvärr kulminerade det hela i ett fall som krävde inblandning av brottsbekämpande myndigheter.
“Krakens säkerhetsteam hotade enskilda CertiK-anställda att betala tillbaka en omatchande mängd krypto inom en orimlig tid även utan att ange återbetalningsadresser. Den muntliga konsensus som nåddes under vårt möte bekräftades inte efteråt. I slutändan anklagade de oss offentligt för stöld och hotade till och med direkt våra anställda, vilket är helt oacceptabelt, säger CertiK till BeInCrypto.
CertiK har uppmanat Kraken att upphöra med hoten mot deras persona, som kallas “Whitehat-hackare”. Revisorn för smarta kontrakt har delat med sig av alla testinsättningstransaktioner. De tillade att de flyttade alla medel till ett tillgängligt konto hos Kraken.
Charles Guillemet, CTO på Ledger, tillverkaren av hårdvaruplånböcker, erkände att säkerhetsstandarderna på centraliserade börser fortfarande är inkonsekventa. Han noterade också att den senaste incidenten bör fungera som en påminnelse för användarna om att börser görs för att göra affärer, inte för att lagra krypto.
“Stora kryptobörser, inklusive Kraken, har gjort ett bra jobb med att förbättra sin säkerhetsställning. Ribban för säkerhet är dock fortfarande ojämn i landskapet med centraliserade börser. Kryptovalutornas själva natur och blockkedjans oföränderlighet gör säkerhetsproblemet mycket utmanande. Börser bör separera plånböcker och ha olika plånböcker för olika användningsområden. De bör också implementera organisatoriska säkerhetsåtgärder, upptäckt, varningar och så vidare”, berättade Guillemet för BeInCrypto.
Revisor som Dömd för 3 miljoner dollar Bug-Attack
Trots CertiKs ansträngningar att belysa saken har kryptogemenskapen kritiserat forskarna och kallat dem för felbehandling. En användare observerar att “känslan kring den här historien skulle ha varit mer positiv om den löstes vänskapligt med Kraken och publicerades om det efteråt.”
Utvecklaren Uttam Singhs sammanfattning av händelsen förlöjligade flera aspekter som gör att fallet lutar ytterligare mot CertiK. Han lyfter fram det faktum att forskarna utförde flera transaktioner och att de väntade fem dagar innan de offentliggjordes.
Enligt Cyvers CTO Meir Dolev skapade en Certik-associerad adress ett kontrakt på Coinbase Layer-2-nätverket Base den 24 maj. Detta ifrågasatte Certiks påstående att sårbarheten upptäcktes den 5 juni. Enligt uppgift testar adressen också OKX och Coinbase för att se om det finns samma sårbarhet som Kraken.
Läs mer: Topp 5 brister i kryptosäkerhet och hur man undviker dem
Baserat på communityns reaktion är den allmänna uppfattningen att åtgärden inte var en Whitehat-säkerhetsundersökning, med engagemang i sociala medier som citerar bevis i kedjan. Detta fick dock inte CertiK:s serie B3-finansieringsrunda att spåra ur, som samlade in 88 miljoner dollar.
Bland ledarna i finansieringsrundan finns Insight Partners, Tiger Global och Advent International. Goldman Sachs, Sequoia och Lightspeed Venture Partners deltog också. Anmärkningsvärt är att det markerade CertiKs fjärde kapitalanskaffningsrunda på nio månader, totalt 230 miljoner dollar.
Disclaimer
All information på vår webbplats publiceras i god tro och endast för allmän information. Varje åtgärd som läsaren vidtar baserat på informationen på vår webbplats sker strikt på egen risk.