CertiK: Bị nhóm vận hành bảo mật của Kraken đe dọa sau khi báo cáo lỗ hổng

Nguồn: Cộng đồng người Hoa CertiK

CertiK gần đây đã phát hiện ra hàng loạt lỗ hổng nghiêm trọng trên sàn giao dịch Kraken, có thể dẫn đến thiệt hại hàng trăm triệu đô la .

Tổng quan về sự cố

Bắt đầu từ việc phát hiện ra rằng hệ thống gửi tiền trên sàn giao dịch Kraken có thể không phân biệt được giữa các trạng thái chuyển khoản nội bộ khác nhau, CertiK đã tiến hành một cuộc điều tra toàn diện và đưa ra ba câu hỏi chính:< /p> p>

1. Kẻ độc hại có thể giả mạo giao dịch gửi tiền vào tài khoản Kraken không?

2. Những kẻ độc hại có thể rút tiền giả không?

3. Các biện pháp kiểm soát rủi ro và bảo vệ tài sản nào sẽ được kích hoạt khi thực hiện yêu cầu rút tiền lớn?

Theo kết quả thử nghiệm, sàn giao dịch Kraken đã thất bại trong tất cả các thử nghiệm này, cho thấy hệ thống phòng thủ chuyên sâu của Kraken có thể bị xâm phạm trên nhiều mặt; gửi vào bất kỳ tài khoản Kraken nào. Một lượng lớn tiền điện tử giả (trị giá hơn 1 triệu USD) có thể bị rút khỏi tài khoản và chuyển đổi thành tiền điện tử hợp lệ. Tệ hơn nữa, trong thời gian thử nghiệm kéo dài vài ngày, không có cảnh báo nào được kích hoạt. Vài ngày sau khi chúng tôi chính thức báo cáo sự việc, Kraken đã phản hồi và khóa tài khoản thử nghiệm.

Sau khi phát hiện, CertiK đã thông báo cho Kraken và nhóm bảo mật của họ đã phân loại nó là "Nghiêm trọng": Cấp độ phân loại nghiêm trọng nhất của Kraken. Sau khi xác định và khắc phục thành công lỗ hổng ban đầu, nhóm hoạt động bảo mật của Kraken đã đe dọa từng nhân viên của CertiK phải hoàn trả số tiền điện tử không khớp trong một khoảng thời gian không hợp lý mà thậm chí không cung cấp địa chỉ trả nợ.

Tiết lộ chi tiết

Để cộng đồng hiểu rõ hơn về toàn bộ vụ việc, CertiK cung cấp dòng thời gian về vụ việc và chi tiết giao dịch tiền gửi thử:

Trong số đó, CertiK đã chỉ ra:

• Sự thật về hoạt động của Mũ Trắng: Hàng triệu đô la tiền điện tử đã được tạo ra một cách bất ngờ và không có tài sản thực sự nào của người dùng Kraken tham gia vào hoạt động nghiên cứu .

• Vấn đề bảo mật nghiêm trọng hơn: Trong vài ngày, nhiều mã thông báo giả đã được tạo và rút thành tiền điện tử hợp lệ cho đến khi có báo cáo của CertiK, không có cơ chế kiểm soát hoặc phòng ngừa rủi ro nào được kích hoạt.

• Câu hỏi thực sự: Tại sao hệ thống phòng thủ chuyên sâu của Kraken lại không phát hiện được nhiều giao dịch thử nghiệm như vậy. Việc rút số tiền lớn liên tục từ các tài khoản thử nghiệm khác nhau là một phần giới hạn của hệ thống thử nghiệm CertiK.

Kết luận

Trên tinh thần minh bạch và cam kết với cộng đồng Web3, CertiK quyết định công khai vấn đề này để bảo vệ an ninh cho tất cả người dùng . CertiK kêu gọi sàn giao dịch Kraken ngăn chặn mọi mối đe dọa chống lại tin tặc mũ trắng và cùng hợp tác để đối mặt với rủi ro và đảm bảo tương lai của Web3.