CertiK erläutert seine Haltung zum ethischen Hacking, Kraken bestätigt die vollständige Rückzahlung der Gelder

CertiK, das Unternehmen für Smart-trac-Sicherheit, beteuert weiterhin, sein Vorgehen gegen die Kryptobörse Kraken sei ethisch korrekt gewesen und man habe versucht, das volle Ausmaß der Sicherheitslücken zu ermitteln. Die Tester versichern zudem, alle Gelder in Form von Sachleistungen zurückerstattet und Kraken nicht erpresst zu haben. 

Das CertiK-Team hat eine neue Stellungnahme verfasst, um einige frühere Behauptungen über Kraken zu widerlegen. Die Tester wiesen Forderungen nach einer Belohnung zurück und erklärten, ihre Priorität liege darin, die Sicherheitslücke zu beheben, die es ermöglichte, Geld auf ein Konto zu drucken. 

Lesen Sie: Kraken erhält 3 Millionen Dollar zurück, während die Kritik an Certik zunimmt

Alle abgehobenen Gelder stammten aus den Cold Wallets von Kraken, und keine Benutzerkonten waren betroffen. Die Rückgabe der Coins erfolgte auf Grundlage der Berechnungen und Transaktionsaufzeichnungen von CertiK. 

Die umstrittenste Aktion von CertiK umfasste Aufzeichnungen über die Überweisung von Geldern an Tornado Cash. Der Krypto-Mixer war bereits zuvor mit Sanktionen vom US-Finanzministerium 

CertiK ist sich der Verwendung von Tornado Cash bewusst und hat die Überweisungen als Beweis für die Sicherheitslücke angeführt. CertiK hat die Verwendung von Tornado Cash bereits im Zusammenhang mit älteren Sicherheitslücken trac. Ein Schwerpunkt von CertiK liegt weiterhin auf der Prüfung von Smarttrac, die häufig ähnliche Logikfehler aufweisen, welche die unbegrenzte Generierung von Token ermöglichen.

CertiKs Vorgehen beim ethischen Hacking beunruhigte Beobachter, da kleine Summen direkt an Tornado Cash überwiesen wurden, um die Sicherheitslücke zu testen. Einige Schritte des Kraken-Testprozesses wurden in den sozialen Medien durchgesickert, bevor Kraken die tatsächliche Größe der Sicherheitslücke bekannt gab. 

Die Frage einer Bug-Bounty-Prämie wurde nicht erörtert, doch CertiK beteuert weiterhin, keine Prämie für die Rückzahlung der Gelder benötigt zu haben. Bislang hat das Sicherheitsteam von Kraken keine Bug-Bounty-Prämie für CertiK angekündigt. 

Kraken bestätigt den Erhalt aller Gelder

CertiK generierte Guthaben auf der zentralisierten Kraken-Plattform und führte Auszahlungen im Namen dieser Konten durch. 

Krakens Behauptung, CertiK habe fehlerhafte Rückerstattungen geleistet, sorgte für die größte Kontroverse. Diese Behauptung wurde jedoch wenige Tage später widerlegt. Krakens Sicherheitschef Nick Percoco gab bekannt, dass die Gelder abzüglich der Transaktionsgebühren vollständig zurückerstattet wurden. 

Laut CertiKs Buchhaltung wurden lediglich ETH, USDT und XMR abgehoben, während Kraken zusätzlich behauptete, dass 155.818,44 MATIC abgehoben und gemischt worden seien. Die Abhebungen wurden auf rund 3 Millionen US-Dollar geschätzt, wobei CertiK nur einen kleinen Betrag verwendete, um die Sicherheitslücke nachzuweisen. 

Weitere Analysen des Exploits zeigten, dass CertiK nicht existierende MATIC Guthaben generierte, die Transaktionen jedoch fehlschlugen und keine Gelder die Kraken-Cold-Wallets verließen. Die generierten MATIC waren lediglich ein interner Exploit, der nicht zur Übertragung echter Polygon-Token führte. 

In einigen Fällen kann das Vorhandensein von Geldern simuliert werden, da andere Protokolle bereits mit Flash-Krediten angegriffen wurden. 

CertiK gab an, dass die Angriffe im Juni wieder zugenommen hätten, wobei mehr als 30 Millionen US-Dollar von Apps und Protokollen erbeutet wurden. Angriffe auf einzelne Wallets sind in dieser Zahl nicht enthalten. 

Tornado Cash ist auch Jahre nach den Sanktionen noch immer aktiv

Der Tornado Cash Mixer ermöglicht weiterhin Sicherheitslücken, da Gelder nach dem Durchlaufen des Mixers nicht mehrtracsind. Selbst nach dem Sperren von Wallets und Adressen können Hacker weiterhin ETH mischen und an unbekannte Wallets senden. 

Lesen Sie auch: Die Klägergruppe hinter der Tornado Cash -Klage verliert gegen das US-Finanzministerium.

Seit 2022 stehen Tornado Cash nur noch begrenzte Ressourcen zur Verfügung, der Service ist aber weiterhin in Betrieb. 

Der Gründer von Tornado Cash, Alexey Pertsev, wurde im Mai 2024 verurteilt und muss mit einer mehrjährigen Haftstrafe rechnen. Die Sanktionen und Verbote verhindern jedoch nicht die Nutzung des Mixers, da dieser außerhalb der USA keine Auswirkungen hat.

Einige Kryptowährungen, wie beispielsweise USDC, haben alle Tornado Cash tracauf die schwarze Liste gesetzt. Bereits an diesetracgesendete Gelder sind unwiederbringlich verloren. USDC ist zudem für seine zentrale Funktion zum Einfrieren von Coins bekannt. Auch für Kraken stellte die Möglichkeit, Gelder an eine Tornado Cash -tracauszuzahlen, eine erhebliche Sicherheitslücke dar. Die meisten Token-Produzenten verzichten auf die Kontrolle über ihre Token, wodurch diese Diebstahl ausgesetzt und durch Mixing nicht wiederherstellbar sind. 

Cryptopolitan Berichterstattung von Hristina Vasileva