CertiK:向Kraken報告安全漏洞後員工卻遭到其安全運營團隊的威脅
來源:CertiK中文社區
CertiK近期在Kraken交易所發現了一系列的嚴重漏洞,這些漏洞可能潛在地導致數億美元的損失。
事件概述
從發現 Kraken交易所 存款系統可能無法區分不同的內部轉账狀態开始,CertiK進行了全面的調查,並提出了三個關鍵問題:
惡意行為者能否僞造一筆存款交易到Kraken账戶?
惡意行為者能否提取僞造的資金?
在大額提款請求時,會觸發哪些風險控制和資產保護措施?
根據測試結果,Kraken交易所未通過所有這些測試,這表明Kraken的縱深防御系統在多個方面都受到了威脅;數百萬美元可以存入任何Kraken账戶。從账戶中可以提取大量僞造的加密貨幣(價值超過100萬美元),並將其轉換為有效的加密貨幣。更糟糕的是,在為期數天的測試期間,沒有觸發任何警報。在我們正式報告事件幾天後,Kraken才做出回應並鎖定了測試账戶。
發現後,CertiK通知了Kraken,其安全團隊將其分類為“Critical”:這是Kraken最嚴重的分類級別。在初步成功識別和修復漏洞後,Kraken的安全運營團隊卻威脅個別CertiK員工,在不合理的時間內償還金額不匹配的加密貨幣,甚至沒有提供還款地址。
細節披露
為了社區可以更透明地了解事件全貌,CertiK提供了事件發生時間线以及測試存款交易明細:
事件發生時間
測試存款交易明細
其中,CertiK指出:
白帽行動的事實:數百萬美金的加密貨幣是憑空鑄造的,在研究活動中,沒有真正的Kraken用戶資產被涉及。
更嚴重的安全問題:在幾天的時間裏,許多僞造的代幣被生成並提現為有效的加密貨幣,直到CertiK報告之前,沒有任何風險控制或預防機制被觸發。
真正的問題:為什么Kraken的縱深防御系統未能檢測到如此多的測試交易。從不同的測試账戶中連續大額提現,是CertiK測試系統極限的一部分。
結語
本着透明的精神和對Web3社區的承諾,CertiK選擇公开此事以保護所有用戶的安全。CertiK敦促 Kraken交易所停止對白帽黑客的任何威脅,攜手合作,共同面對風險,保障Web3的未來。
鄭重聲明:本文版權歸原作者所有,轉載文章僅為傳播信息之目的,不構成任何投資建議,如有侵權行為,請第一時間聯絡我們修改或刪除,多謝。
XRP 漲至 7.5 美元?分析師告訴 XRP 大軍為純粹的煙火做好准備!
加密貨幣分析師 EGRAG 表示,XRP 即將迎來關鍵時刻,價格可能大幅上漲,這取決於能否突破關鍵...
今晚ETH迎來暴漲時代 op、arb、metis等以太坊二層項目能否跑出百倍幣?
北京時間7月23日晚上美股开盤後 ETH 的ETF开始交易。ETH的裏程碑啊,新的時代开啓。突破前...
Mt Gox 轉移 28 億美元比特幣 加密貨幣下跌 ETH ETF 提前發行
2014 年倒閉的臭名昭著的比特幣交易所 Mt Gox 已向債權人轉移了大量比特幣 (BTC),作...
CertiK中文社區
文章數量
71粉絲數
0