CertiK обнаружил эксплойт Kraken и обвиняет в угрозах со стороны Exchange

Как исследователь с опытом работы в области блокчейн-безопасности и кибербезопасности, я нахожу недавние события между Kraken и CertiK тревожными. С моей точки зрения, похоже, что CertiK обнаружил критические уязвимости в системе Kraken, которые могли привести к существенным потерям. В ответ на их раскрытие команда безопасности Kraken якобы угрожала сотрудникам CertiK, требуя выплаты неуказанной суммы в криптовалюте без указания адресов погашения.


Как аналитик по безопасности в CertiK, я делюсь информацией из первых рук о недавнем событии: биржа цифровых активов Kraken публично обвинила нас в том, что мы являемся «исследователями безопасности», которые якобы украли с их платформы цифровые активы на сумму 3 миллиона долларов. 19 июня CertiK опубликовала заявление на нашем канале X, в котором сообщила, что мы действительно обнаружили уязвимость в системе Kraken. Эта уязвимость позволила несанкционированно удалить значительные средства с нескольких счетов. Однако я хочу уточнить, что в CertiK мы уделяем приоритетное внимание ответственному раскрытию информации и этическим методам взлома. Наша команда раскрывает уязвимости только после согласования с пострадавшей стороной, чтобы обеспечить безопасное решение для всех участвующих сторон.

Бывший руководитель службы безопасности Kraken Николас Перкоко обвинил неустановленную группу безопасности, позже выяснилось, что это была CertiK, в вымогательстве путем удержания возвращенных средств, если Kraken не заплатит непомерную комиссию, которая потенциально могла бы стать убытком, если бы ошибка осталась нераскрытой.

Как аналитик по безопасности, я бы перефразировал это следующим образом: я обнаружил, что команда безопасности Kraken, как сообщается, оказывала давление на некоторых своих сотрудников, чтобы они вернули нераскрытое количество криптовалюты в нереальные сроки. Однако они не смогли предоставить надлежащие адреса погашения для перевода этих средств. В ответ CertiK намерена перевести средства на счет, доступный Kraken.

Как исследователь в CertiK, я обнаружил серьезную проблему в депозитной системе KrakenFX. Похоже, что эта система может неадекватно различать различные внутренние транзакции, что потенциально может привести к существенным финансовым потерям, исчисляемым сотнями миллионов долларов.

— CertiK (@CertiK) 19 июня 2024 г.

Как криптоинвестор, я сталкивался с отчетами CertiK, в которых подчеркивались потенциальные недостатки депозитной системы Kraken, которые могут привести к существенным финансовым потерям. В ходе расследования они обнаружили тревожную проблему: депозитная система Kraken не может эффективно различать различные статусы внутренних переводов. Этот надзор дает злоумышленникам возможность манипулировать депозитами путем фабрикации транзакций, вывода несуществующих средств и конвертации их в законные криптовалюты – и все это без каких-либо сигналов тревоги.

CertiK объявила, что после первоначального успешного устранения выявленных уязвимостей команда безопасности Kraken потребовала от конкретных сотрудников CertiK вернуть несоответствующее количество криптовалюты в сжатые сроки, не предоставляя никаких адресов погашения.

Было обнаружено, что защитные механизмы Kraken были взломаны с разных сторон, и бирже потребовалось несколько дней, чтобы отреагировать после того, как эти слабости были раскрыты.

Шокирует то, что Сертик признался, что был ответственным за выманивание средств у Kraken и угрожал им дополнительной выплатой. Учитывая их историю частого взлома аудитов, удивительно, что они продолжают работать. Такое поведение совершенно незаконно.

— Адам Кокран (adamscochran.eth) (@adamscochran), 19 июня 2024 г.

CertiK решительно выступает за открытость и защиту безопасности сообщества Web3, призывая Kraken прекратить подвергать опасности этических хакеров. Они выступали за совместные усилия по решению проблем безопасности и обеспечению долгосрочного успеха технологии Web3.

Первые ответы криптовалютного сообщества склонялись к точке зрения Kraken, интерпретируя действия CertiK как отклонение от стандартной практики этических хакеров.

Смотрите также

2024-06-19 23:48