Na het gerapporteerde verlies van $3 miljoen uit de kas van Kraken exchange, heeft smart contract auditor CertiK een verband met het incident onthuld.
Het handelsplatform probeerde de fondsen onmiddellijk terug te vorderen, maar nam zijn toevlucht tot wetshandhaving, onder het mom van een geval van afpersing.
CertiK geeft inzicht in het verlies van Kraken
Kraken exchange’s recente $3 miljoen bug aanval is in verband gebracht met smart contract audit bedrijf CertiK, dat de associatie bevestigde. Ze ontdekten een reeks kritieke kwetsbaarheden die mogelijk kunnen leiden tot honderden miljoenen dollars aan verliezen.
Na de ontdekking namen de researchers het initiatief om de kwetsbaarheid te onderzoeken, waarbij ze zich lieten leiden door drie vragen.
- Kan een kwaadwillende een storting doen op een Kraken-rekening?
- Kan een kwaadwillende de gefabriceerde fondsen opnemen?
- Welke risicocontroles en bescherming van assets zou een groot opnameprobleem kunnen veroorzaken?
Lees meer: Kraken Review 2024: Security en functies
Volgens CertiK slaagde het handelsplatform niet voor alle tests, waardoor het concludeerde dat Kraken’s “defensie-in-depth systeem op meerdere fronten gecompromitteerd is.”
“Volgens ons testresultaat: De Kraken exchange faalde in al deze tests, wat aangeeft dat Kraken’s defense in-depth-systeem op meerdere fronten gecompromitteerd is. Miljoenen dollars kunnen worden gestort op ELKE Kraken-rekening. Een enorme hoeveelheid gefabriceerde crypto (met een waarde van meer dan 1 miljoen USD) kan van de rekening worden gehaald en worden omgezet in geldige crypto’s. Erger nog, er werden geen waarschuwingen geactiveerd tijdens de meerdaagse testperiode. Kraken reageerde pas en vergrendelde de testaccounts dagen nadat we het incident officieel hadden gemeld,” staat in het rapport.
CertiK legde deze bevindingen voor aan Kraken Exchange, wiens security team ze classificeerde als “kritiek”, het meest ernstige classificatieniveau op het handelsplatform. Helaas mondde dit alles uit in een zaak waarbij de politie moest worden ingeschakeld.
“Het security team van Kraken dreigde individuele CertiK werknemers om een verkeerd bedrag aan crypto terug te betalen in een onredelijke tijd, zelfs zonder terugbetalingsadressen te geven. De mondelinge consensus die tijdens onze vergadering werd bereikt, werd achteraf niet bevestigd. Uiteindelijk beschuldigden ze ons publiekelijk van diefstal en bedreigden ze zelfs rechtstreeks onze werknemers, wat volledig onaanvaardbaar is,” vertelde CertiK aan BeInCrypto.
CertiK heeft er bij Kraken op aangedrongen om te stoppen met de bedreigingen tegen hun personage, dat “Whitehat hackers” wordt genoemd. De smart contract auditor heeft alle teststortingstransacties gedeeld. Ze voegden eraan toe dat ze alle fondsen hebben verplaatst naar een toegankelijke rekening bij Kraken.
Charles Guillemet, CTO bij Ledger, de fabrikant van hardware wallets, erkende dat security standaarden bij gecentraliseerde exchanges inconsistent blijven. Hij merkte ook op dat het recente incident gebruikers eraan moet herinneren dat exchanges gemaakt zijn om handel te drijven, niet om crypto op te slaan.
“Grote cryptobeurzen, waaronder Kraken, hebben hun security goed verbeterd. Echter, de lat voor security blijft ongelijk in het landschap van gecentraliseerde exchanges. De aard zelf van cryptocurrencies en de onveranderlijkheid van blockchain maakt het security-probleem zeer uitdagend. Exchanges zouden wallets moeten scheiden en verschillende wallets moeten hebben voor verschillende doeleinden. Ze zouden ook organisatorische beveiligingsmaatregelen, detectie, waarschuwingen enzovoort moeten implementeren,” deelde Guillemet met BeInCrypto.
Auditor wordt veroordeeld voor $3 miljoen bug-aanval
Ondanks de inspanningen van CertiK om licht op de zaak te werpen, heeft de cryptogemeenschap de researchers bekritiseerd en hen uitgescholden voor wanpraktijken. Een gebruiker merkt op dat “het sentiment rond dit verhaal positiever zou zijn geweest als het vriendschappelijk met Kraken was opgelost en er daarna over had gepost.”
Ontwikkelaar Uttam Singh’s samenvatting van de gebeurtenis maakt verschillende aspecten belachelijk die de zaak verder doen kantelen tegen CertiK. Hij benadrukt het feit dat de researchers meerdere transacties hebben uitgevoerd en dat ze vijf dagen hebben gewacht met de openbaarmaking.
Volgens Cyvers CTO Meir Dolev creëerde een adres van Certik op 24 mei een contract op het Coinbase Layer-2 netwerk Base. Dit doet twijfels rijzen over de bewering van Certik dat de kwetsbaarheid op 5 juni werd ontdekt. Naar verluidt test het adres ook OKX en Coinbase om te zien of er dezelfde kwetsbaarheid is als bij Kraken.
Lees meer: Top 5 Flaws in Crypto Security en hoe ze te vermijden
Based on the community reaction, the general sentiment is that the action was not a Whitehat security research, with social media engagement cites on-chain evidence. Desondanks heeft dit de Serie B3-financieringsronde van CertiK niet doen ontsporen, die maar liefst 88 miljoen dollar opbracht.
Onder de leiders in de financieringsronde bevinden zich Insight Partners, Tiger Global en Advent International. Goldman Sachs, Sequoia en Lightspeed Venture Partners namen ook deel. Opmerkelijk is dat dit de vierde kapitaalronde was die CertiK in negen maanden ophaalde, met een totaal van 230 miljoen dollar.
Disclaimer
Alle informatie op onze website wordt te goeder trouw en uitsluitend voor algemene informatiedoeleinden gepubliceerd. Elke actie die de lezer onderneemt op basis van de informatie op onze website is strikt op eigen risico.