CertiK, das Unternehmen für intelligente trac , behauptet weiterhin, dass sein Vorgehen gegen die Kraken-Börse ethisch vertretbar gewesen sei und dass es versucht habe, das volle Ausmaß der Sicherheitslücken abzuschätzen. Die Tester behaupten außerdem, dass sie alle Gelder in Form von Sachleistungen zurückgegeben und Kraken nicht erpresst hätten.
Das CertiK-Team hat eine neue Erklärung entwickelt, um einige frühere Kraken-Behauptungen zu widerlegen. Die Tester lehnten Forderungen nach einem Kopfgeld ab und gaben an, dass ihre Priorität darin bestehe, die Schwachstelle zu beheben, die durch das Drucken von Geldern auf ein Konto entsteht.
Lesen Sie: Kraken erhält 3 Millionen US-Dollar zurück, da die Kritik an Certik zunimmt
Alle abgehobenen Gelder stammten aus den Cold Wallets von Kraken und es waren keine Benutzerkonten betroffen. Die Rückgabe der Münzen erfolgte auf Grundlage der eigenen Berechnungen und Transaktionsaufzeichnungen von CertiK.
Zu den umstrittensten Maßnahmen von CertiK gehörten Aufzeichnungen über die Überweisung einiger Gelder an Tornado Cash . Der Münzmischer wurde bereits mit Sanktionen des US-Finanzministeriums belegt, die es Personen mit Wohnsitz in den USA untersagten, mit ihm zu interagieren.
CertiK ist sich der Verwendung von Tornado Cash bewusst und hat die Überweisungen als Beweis für den Einsatz von Tornado Cash angeführt. Zuvor hat CertiK auch die Nutzung von Tornado Cash im Rahmen älterer Exploits trac . Einer der Hauptschwerpunkte von Certik bleibt die Prüfung von Smart trac , die oft ähnliche Logikfehler enthalten, die zu einer unbegrenzten Token-Erstellung führen.
CertiKs Ansatz beim ethischen Hacken verunsicherte Beobachter, da kleine Beträge direkt an Tornado Cash geschickt wurden, um den Exploit zu testen. Einige Schritte im Kraken-Testprozess wurden in den sozialen Medien durchgesickert, bevor Kraken das Unternehmen schließlich über die tatsächliche Größe des Exploits informierte.
Die Frage einer Bug-Bounty wurde nicht diskutiert, CertiK behauptet jedoch weiterhin, dass für die Rückerstattung der Gelder keine Bounty erforderlich sei. Bisher hat das Sicherheitsteam von Kraken kein Kopfgeld für CertiK angekündigt.
Kraken gibt zu, alle Gelder erhalten zu haben
CertiK generierte Guthaben auf der zentralisierten Kraken-Plattform und führte Abhebungen im Namen dieser Konten durch.
Am umstrittensten waren Krakens Behauptungen, dass CertiK bei seinen Renditen ungenau gewesen sei. Dies wurde jedoch einige Tage später widerlegt. Nick Percoco, Chief Security Officer von Kraken, gab bekannt, dass die Gelder abzüglich der Transaktionsgebühren vollständig zurückgegeben wurden.
Die Buchhaltung von CertiK meldete nur Abhebungen von ETH, USDT und XMR, während Kraken auch behauptete, dass 155.818,44 MATIC ebenfalls abgehoben und gemischt wurden. Die Abhebungen wurden auf rund 3 Millionen US-Dollar geschätzt, obwohl Certik einen kleinen Betrag zum Beweis des Exploits verwendete.
Eine weitere Analyse des Exploits ergab, dass CertiK nicht vorhandene MATIC Guthaben generierte, die Transaktionen jedoch fehlschlugen und kein Geld aus den kalten Wallets von Kraken übrig blieb. Der generierte MATIC war lediglich ein interner Exploit, der nicht zur Übertragung echter Polygon-Tokens führte.
In einigen Fällen kann das Vorhandensein von Geldern simuliert werden, da andere Protokolle mit Flash-Krediten angegriffen wurden.
CertiK behauptete, dass Exploits im Juni erneut zugenommen hätten und mehr als 30 Millionen US-Dollar aus Apps und Protokollen gestohlen worden seien. Angriffe auf einzelne Wallets sind in der Zählung nicht enthalten.
Tornado Cash ist auch Jahre nach den Sanktionen noch in Betrieb
Der Tornado Cash Mixer erleichtert immer noch Exploits, da Gelder nach dem Durchlaufen des Mixers nicht mehr trac werden können. Selbst nachdem Wallets und Adressen auf die schwarze Liste gesetzt wurden, hindert Hacker nichts daran, ETH zu vermischen und an neue unbekannte Wallets zu senden.
Lesen Sie auch: Die Gruppe hinter der Tornado- Cash Klage verliert gegen das US-Finanzministerium
Seit 2022 verfügt Tornado Cash über begrenzte Ressourcen, der Dienst ist jedoch weiterhin betriebsbereit.
Der Gründer von Tornado Cash , Alexey Pertsev, wurde im Mai 2024 verurteilt und droht möglicherweise Jahre hinter Gittern. Die Sanktionen und Verbote hindern jedoch niemanden daran, den Mixer zu verwenden, was keine Auswirkungen auf Gerichtsbarkeiten außerhalb der USA hat.
Einige Münzen, wie USDC, haben alle Tornado Cash trac auf die schwarze Liste gesetzt. An den trac überwiesene Beträge können nicht erneut zurückgefordert werden. USDC ist auch für seine zentrale Fähigkeit zum Einfrieren von Münzen bekannt. Für Kraken war auch die Möglichkeit, an eine Tornado Cash trac Geld abzuheben, eine große Schwachstelle. Die meisten Token-Hersteller entscheiden sich dafür, keine Kontrolle über die Token auszuüben, was sie anfällig für Diebstahl und unwiederbringlich durch Vermischung macht.
Kryptopolitische Berichterstattung von Hristina Vasileva
Ein Schritt-für-Schritt-System zum Start Ihrer Web3-Karriere und zur Erlangung hochbezahlter Krypto-Jobs in 90 Tagen.