CertiK, Kraken’in savunma sistemlerinin fazlasıyla zayıf olduğunu öne sürdü
Blockchain güvenlik firması CertiK, 3 milyon dolar değerinde tokenın izinsiz çekilmesine yol açan hatanın Kraken borsasından kaynaklandığını raporladı.
9 Haziran’da Kraken’in Baş Güvenlik Görevlisi Nick Percoco, kullanıcıların hesap bakiyelerini değiştirebilecek ve veri sızıntısına yol açabilecek “son derece kritik” bir güvenliği açığı tespit ettiklerini bildirdi. Açıktan yararlananlar borsadan 3 milyon dolar değerinde token çekmeyi başardı.
Yeni bir raporda, New York merkezli blockchain güvenlik firması CertiK, izinsiz token çekilmesine yol açan açığın borsanın kendisinden kaynakladığını öne sürdü.
CertiK’e göre sorun ilk olarak 5 Haziran’da tespit edildi. Firma yaptığı araştırmada, “sahte para yatırma işlemi oluşturulabilir mi? Bu sahte fonlar çekilebilir mi? Büyük bir para çekme talebinde hangi mekanizmalar devreye giriyor?” sorularına yanıt aradı. Rapora göre Kraken tüm bu testlerde başarısız oldu.
“Kraken platformunda büyük miktarda sahte kripto (değeri 1 milyon dolardan fazla) hesaptan çekilip geçerli kripto paralara dönüştürülebiliyor. Daha da kötüsü, birkaç gün süren test döneminde kullanıcılara hiçbir uyarı yapılmadı. Kraken, olayı resmi olarak bildirmemizden günler sonra yanıt verdi ve test hesaplarımızı kilitledi.”
CertiK
CertiK, açığı keşfettikten sonra Kraken ekibini bilgilendirdiğini ve güvenlik ekibinin sorunu “kritik” olarak işaretlediğini belirtti. Ancak, açık belirlendikten ve düzeltildikten sonra, Kraken’in güvenlik operasyonları ekibinin bazı CertiK çalışanlarını “tehdit ettiği” ve “geri ödeme adresleri sağlanmadan kısıtlı sürede belirsiz miktarda kripto para iadesi” talep ettiği iddia edildi.
Olayın diğer tarafında, CertiK’in raporunda ve iddialarında tutarsızlıklar olduğunu öne süren görüşler de yer aldı. Güvenlik açığının CertiK çalışanları tarafından suiistimal edildiği öne sürüldü.
Bir X hesabının iddialarına göre, “Certik çalışanları, Kraken’in sistemlerindeki bir güvenlik açığından bilerek ve isteyerek yararlanarak 5 gün içinde 3 milyon dolardan fazla para çekti. Sadece 5 günün sonunda güvenlik açığını açıkladılar. “
Cyvers baş teknoloji sorumlusu Meir Dolev’a göre CertiK ile ilişkili bir adres, Kraken olayının ilk rapor edilmesinden haftalar önce birden fazla blockchain ağında şüpheli faaliyetlere başladı. Bu da CertiK tarafından sağlanan zaman çizelgesi hakkında soruları gündeme getirdi.
Coinbase direktörü Conor Grogan ise CertiK ile ilişkili olan ve güvenlik açığından token çektiği iddia edilen adreslerin Tornado Cash kullandığını, fakat CertiK’in bunu yapamayacağını söyledi. Kripto para karıştırma (mixer) hizmeti olan Tornado Cash, 2019’dan bu yana yaklaşık 7 milyar dolarlık kripto para aklama işlemi gerçekleştirdiği için ABD Hazine Bakanlığı’nın Yabancı Varlıklar Kontrol Ofisi (OFAC) tarafından mercek altına alındı.
Raporlar, CertiK ile ilişkili adreslerin çekilen kripto paranın bir kısmını uzaktan yönetime izin veren ChangeNOW platformuna gönderdiğini iddia ediyor. CertiK şu anda kadar bu konularda bir açıklama yapmadı, ancak çekilen tüm tokenları Kraken’e iade ettiğini iddia ediyor.