Nach dem gemeldeten Verlust von 3 Millionen US-Dollar aus der Kasse der Kraken-Börse enthüllte der Smart-Contract-Prüfer CertiK einen Zusammenhang mit dem Vorfall.
Die Handelsplattform versuchte, die Gelder sofort zurückzufordern, griff jedoch auf die Strafverfolgungsbehörden zurück und führte einen Fall von Erpressung an.
CertiK teilt seine Sicht auf den Verlust von Kraken
Der jüngste 3-Millionen-Dollar-Bug-Angriff auf die Kraken-Börse wurde mit der Smart-Contract-Audit-Firma CertiK in Verbindung gebracht, die den Zusammenhang bestätigte. Sie entdeckten eine Reihe kritischer Schwachstellen, die möglicherweise zu Verlusten in Höhe von Hunderten Millionen Dollar führen könnten.
Nach der Entdeckung ergriffen die Forscher die Initiative, die Schwachstelle zu untersuchen, und stellten drei Fragen, um ihre Forschung zu untermauern.
- Kann ein Angreifer eine Einzahlungstransaktion auf ein Kraken-Konto fälschen?
- Kann ein böswilliger Akteur gefälschte Gelder abheben?
- Welche Risikokontrollen und Vermögensschutzmaßnahmen können durch eine große Auszahlungsanforderung ausgelöst werden?
Weiterlesen: Kraken Review 2024: Sicherheit und Funktionen
Laut CertiK hat die Handelsplattform alle Tests nicht bestanden, was zu dem Schluss führte, dass „Krakens tiefgreifendes Verteidigungssystem an mehreren Fronten gefährdet ist“.
„Laut dem Ergebnis unserer Tests hat die Kraken-Börse alle diese Tests nicht bestanden, was darauf hindeutet, dass das umfassende Verteidigungssystem von Kraken an mehreren Fronten beeinträchtigt ist „1 Million US-Dollar) können vom Konto abgebucht und in gültige Kryptowährungen umgewandelt werden“, heißt es in dem in einem Beitrag hervorgehobenen Bericht .
CertiK übermittelte diese Ergebnisse an Kraken Exchange , deren Sicherheitsteam sie als „kritisch“ einstufte, der schwerwiegendsten Bewertungsstufe auf der Handelsplattform. Leider gipfelte alles in einem Fall, der die Einschaltung der Strafverfolgungsbehörden erforderte.
„Das Sicherheitsteam von Kraken drohte einzelnen CertiK-Mitarbeitern, eine unangemessene Menge an Kryptowährungen innerhalb einer unangemessenen Zeit zurückzuerstatten, auch ohne Rückerstattungsadressen. Der während unseres Treffens erzielte mündliche Konsens wurde anschließend nicht bestätigt, sie beschuldigten uns öffentlich und sogar direkt „Wir haben unsere Mitarbeiter bedroht, was völlig inakzeptabel ist“, sagte CertiK gegenüber BeInCrypto.
CertiK forderte Kraken auf, Bedrohungen gegen seine Identität zu stoppen, die es als „Whitehat-Hacker“ bezeichnete. Der Smart-Contract-Prüfer teilte alle Testeinzahlungstransaktionen mit. Sie fügten hinzu, dass sie alle Gelder auf ein zugängliches Konto bei Kraken überwiesen hätten.
Dem Wirtschaftsprüfer wird ein Bug-Angriff in Höhe von 3 Millionen US-Dollar vorgeworfen
Trotz der Bemühungen von CertiK, Licht ins Dunkel zu bringen, hat die Krypto-Community die Forscher kritisiert und sie wegen Fahrlässigkeit verklagt. Ein Benutzer merkt an , dass „die Stimmung rund um diese Geschichte positiver gewesen wäre, wenn sie einvernehmlich mit Kraken geklärt und später veröffentlicht worden wäre.“
In der Zusammenfassung des Ereignisses des Entwicklers Uttam Singh wurden mehrere Aspekte lächerlich gemacht, die den Fall gegen CertiK noch weiter ins Wanken bringen. Er hebt die Tatsache hervor, dass die Forscher mehrere Transaktionen durchgeführt und fünf Tage mit der Offenlegung gewartet haben.
Laut Meir Dolev, CTO von Cyvers, hat eine mit Certik verbundene Adresse am 24. Mai einen Vertrag im Coinbase Layer-2 Base-Netzwerk erstellt . Dies lässt Zweifel an der Behauptung von Certik aufkommen, dass die Schwachstelle am 5. Juni entdeckt wurde. Berichten zufolge testet die Adresse auch OKX und Coinbase, um festzustellen, ob die gleiche Schwachstelle wie bei Kraken besteht.
Lesen Sie mehr: Die fünf größten kryptografischen Sicherheitslücken und wie man sie vermeidet
Basierend auf der Reaktion der Community herrscht allgemein die Meinung vor, dass es sich bei der Aktion nicht um Whitehat-Sicherheitsforschung handelte, da bei der Beteiligung an sozialen Medien Beweise aus der Kette angeführt wurden. Dies hat jedoch die Finanzierungsrunde der Serie B3 von CertiK nicht zum Scheitern gebracht, die satte 88 Millionen US-Dollar einbrachte.
Zu den führenden Unternehmen der Finanzierungsrunde zählen Insight Partners, Tiger Global und Advent International. Auch Goldman Sachs , Sequoia und Lightspeed Venture Partners beteiligten sich. Bemerkenswert ist, dass es für CertiK die vierte Kapitalbeschaffungsrunde innerhalb von neun Monaten war, die sich auf insgesamt 230 Millionen US-Dollar beläuft.
Der Beitrag „CertiK-Forscher im Zusammenhang mit einem 3-Millionen-Dollar-Kraken-Angriff“ erschien zuerst auf BeInCrypto .