CertiK:向Kraken報告安全漏洞後員工卻遭到其安全運營團隊的威脅

2024-06-20 16:06:32

CertiK近期在Kraken交易所發現了一系列的嚴重漏洞,這些漏洞可能潛在地導致數億美元的損失。 事件概述

從發現Kraken交易所 存款系統可能無法區分不同的內部轉账狀態开始,CertiK進行了全面的調查,並提出了三個關鍵問題:

惡意行為者能否僞造一筆存款交易到Kraken账戶?

惡意行為者能否提取僞造的資金?

在大額提款請求時,會觸發哪些風險控制和資產保護措施?

根據測試結果,Kraken交易所未通過所有這些測試,這表明Kraken的縱深防御系統在多個方面都受到了威脅;數百萬美元可以存入任何Kraken账戶。從账戶中可以提取大量僞造的加密貨幣(價值超過100萬美元),並將其轉換為有效的加密貨幣。更糟糕的是,在為期數天的測試期間,沒有觸發任何警報。在我們正式報告事件幾天後,Kraken才做出回應並鎖定了測試账戶。

發現後,CertiK通知了Kraken,其安全團隊將其分類為“Critical”:這是Kraken最嚴重的分類級別。在初步成功識別和修復漏洞後,Kraken的安全運營團隊卻威脅個別CertiK員工,在不合理的時間內償還金額不匹配的加密貨幣,甚至沒有提供還款地址。 細節披露

為了社區可以更透明地了解事件全貌,CertiK提供了事件發生時間线以及測試存款交易明細:

事件發生時間线

測試存款交易明細

其中,CertiK指出:

白帽行動的事實:數百萬美金的加密貨幣是憑空鑄造的,在研究活動中,沒有真正的Kraken用戶資產被涉及。

更嚴重的安全問題:在幾天的時間裏,許多僞造的代幣被生成並提現為有效的加密貨幣,直到CertiK報告之前,沒有任何風險控制或預防機制被觸發。

真正的問題:為什么Kraken的縱深防御系統未能檢測到如此多的測試交易。從不同的測試账戶中連續大額提現,是CertiK測試系統極限的一部分。 結語

本着透明的精神和對Web3社區的承諾,CertiK選擇公开此事以保護所有用戶的安全。CertiK敦促Kraken交易所停止對白帽黑客的任何威脅,攜手合作,共同面對風險,保障Web3的未來。

鄭重聲明:本文版權歸原作者所有,轉載文章僅為傳播信息之目的,不構成任何投資建議,如有侵權行為,請第一時間聯絡我們修改或刪除,多謝。

推薦文章

「FAT Awards 2024年度盛典」成功結束,行業建設正當時!

市場風起雲湧,但推動周期輪轉、熱潮奔湧的,永遠都是投身於加密行業的衆多建設者。 為了讓這些臺前幕後...

星球日報
4 3小時前

何一新文:如果我們意見不一樣,那可能你是對的

近期,Binance 在上线多個 Meme 幣後,傳出某 KOL 在上幣前精准預測所有具體幣種的聊...

星球日報
4 3小時前

CZ趙長鵬9/29出獄!美國SEC重申幣安「違反聯邦證券法」

全 球最大加密貨幣交易所幣安(Binance)在去年 11 月與美國司法部、商品期貨交易委員會(C...

Editor Jr.
4 11小時前

幣安上架小寫「Neiro」噴漲754%,社群質疑Binance上幣策略

全 球最大加密貨幣交易所幣安(Binance)昨日稍早發佈公告 表示 ,將於臺灣時間 9 月 16...

Editor Jr.
4 11小時前

獎金1萬鎂!Blum與TONX推出Open Art ID寶藏狩獵活動,如何參與?

亞 洲頂級 Web3 盛會 TOKEN 2049 本週開幕在即,作為黑馬公鏈 TON 生態的關鍵建...

Editor Jr.
4 11小時前

幣安何一闢謠:無意引導迷因幣風向,上架「小寫Neiro」因市值低、持幣分散

全 球最大加密貨幣交易所幣安(Binance)昨(16)日宣佈上架狗系迷因幣 $Neiro 的舉動...

Editor Jr.
4 11小時前