CertiK, Kraken’in savunma sistemlerinin fazlasıyla zayıf olduğunu öne sürdü

Blockchain güvenlik firması CertiK, 3 milyon dolar değerinde tokenın izinsiz çekilmesine yol açan hatanın Kraken borsasından kaynaklandığını raporladı.

9 Haziran’da Kraken’in Baş Güvenlik Görevlisi Nick Percoco, kullanıcıların hesap bakiyelerini değiştirebilecek ve veri sızıntısına yol açabilecek  “son derece kritik” bir güvenliği açığı tespit ettiklerini bildirdi. Açıktan yararlananlar borsadan 3 milyon dolar değerinde token çekmeyi başardı.

Yeni bir raporda, New York merkezli blockchain güvenlik firması CertiK, izinsiz token çekilmesine yol açan açığın borsanın kendisinden kaynakladığını öne sürdü.

CertiK recently identified a series of critical vulnerabilities in @krakenfx exchange which could potentially lead to hundreds of millions of dollars in losses.

Starting from a finding in @krakenfx's deposit system where it may fail to differentiate between different internal… pic.twitter.com/JZkMXj2ZCD

— CertiK (@CertiK) June 19, 2024

CertiK’e göre sorun ilk olarak 5 Haziran’da tespit edildi. Firma yaptığı araştırmada, “sahte para yatırma işlemi oluşturulabilir mi? Bu sahte fonlar çekilebilir mi? Büyük bir para çekme talebinde hangi mekanizmalar devreye giriyor?” sorularına yanıt aradı. Rapora göre Kraken tüm bu testlerde başarısız oldu.

“Kraken platformunda büyük miktarda sahte kripto (değeri 1 milyon dolardan fazla) hesaptan çekilip geçerli kripto paralara dönüştürülebiliyor. Daha da kötüsü, birkaç gün süren test döneminde kullanıcılara hiçbir uyarı yapılmadı. Kraken, olayı resmi olarak bildirmemizden günler sonra yanıt verdi ve test hesaplarımızı kilitledi.”

CertiK

CertiK, açığı keşfettikten sonra Kraken ekibini bilgilendirdiğini ve güvenlik ekibinin sorunu “kritik” olarak işaretlediğini belirtti. Ancak, açık belirlendikten ve düzeltildikten sonra, Kraken’in güvenlik operasyonları ekibinin bazı CertiK çalışanlarını “tehdit ettiği” ve “geri ödeme adresleri sağlanmadan kısıtlı sürede belirsiz miktarda kripto para iadesi” talep ettiği iddia edildi.

Olayın diğer tarafında, CertiK’in raporunda ve iddialarında tutarsızlıklar olduğunu öne süren görüşler de yer aldı. Güvenlik açığının CertiK çalışanları tarafından suiistimal edildiği öne sürüldü.

Bir X hesabının iddialarına göre, “Certik çalışanları, Kraken’in sistemlerindeki bir güvenlik açığından bilerek ve isteyerek yararlanarak 5 gün içinde 3 milyon dolardan fazla para çekti. Sadece 5 günün sonunda güvenlik açığını açıkladılar. “

HAHAHHA YOU FUCKING CLOWNS

There is absolutely NO universe where this is "whitehat security research"

Kraken is being incredibly patient for not outright calling this what it very clearly is: a multimillion dollar theft with a side of extortion.

— Tay 💖 (@tayvano_) June 19, 2024

Cyvers baş teknoloji sorumlusu Meir Dolev’a göre CertiK ile ilişkili bir adres, Kraken olayının ilk rapor edilmesinden haftalar önce birden fazla blockchain ağında şüpheli faaliyetlere başladı. Bu da CertiK tarafından sağlanan zaman çizelgesi hakkında soruları gündeme getirdi.

Following the @krakenfx Incident, similar activity started on base 26 days ago!! The same signature hash is also used on Polygon 14 days ago. So should we believe Cetik timeline that they found the vulnerability only on June 5th?@tayvano_ pic.twitter.com/cvAnVrTg67

— Meir Dolev (@Meir_Dv) June 19, 2024

Coinbase direktörü Conor Grogan ise CertiK ile ilişkili olan ve güvenlik açığından token çektiği iddia edilen adreslerin Tornado Cash kullandığını, fakat CertiK’in bunu yapamayacağını söyledi. Kripto para karıştırma (mixer) hizmeti olan Tornado Cash, 2019’dan bu yana yaklaşık 7 milyar dolarlık kripto para aklama işlemi gerçekleştirdiği için ABD Hazine Bakanlığı’nın Yabancı Varlıklar Kontrol Ofisi (OFAC) tarafından mercek altına alındı.

Raporlar, CertiK ile ilişkili adreslerin çekilen kripto paranın bir kısmını uzaktan yönetime izin veren ChangeNOW platformuna gönderdiğini iddia ediyor. CertiK şu anda kadar bu konularda bir açıklama yapmadı, ancak çekilen tüm tokenları Kraken’e iade ettiğini iddia ediyor.