CertiKがハッキングの倫理的スタンスを説明、Krakenは資金全額返還を認める

スマートtracセキュリティ企業であるCertiKは、Kraken取引所に対する同社の行為は倫理的であり、セキュリティ上の欠陥の全範囲を推定しようとしていたと主張し続けている。 テスターらはまた、資金はすべて現物で返還し、クラーケンを強要していないと主張している。  

CertiK チームは、これまでの Kraken の主張に反論するための新しい声明を作成しました。 テスターらは報奨金の要求を否定し、アカウントに資金を印刷できる脆弱性を修正することが優先であると述べた。  

読む: Certikに対する批判が高まる中、Krakenが300万ドルを回収

引き出された資金はすべて Kraken のコールド ウォレットからのもので、ユーザー アカウントは影響を受けませんでした。 コインは CertiK 独自の計算と取引記録に基づいて返却されました。  

最近の CertiK-Kraken ホワイトハット操作に関する Q&A:

1. 実際のユーザーは資金を失いましたか?
いいえ、暗号は空気から鋳造されたものであり、実際の Kraken ユーザーの資産は私たちの研究活動に直接関与していませんでした。

2. 資金の返還を拒否しましたか?
いいえ。私たちとのコミュニケーションでは…

— CertiK (@CertiK) 2024 年 6 月 20 日

CertiK の最も物議を醸した行為には、Tornado Cash。 米国財務省から制裁を受けており

CertiK は Tornado Cash の使用をよく認識しており、その悪用の証拠として送金を含めていました。 以前、CertiK は古いエクスプロイトの一部として Tornado Cash 使用状況も tracしていました。 Certik の主な焦点の 1 つは依然としてスマートtracの監査であり、スマート コントラクトには無制限のトークン作成につながる同様のロジック上の欠陥が含まれていることがよくあります。

倫理的ハッキングに対する CertiK のアプローチは、エクスプロイトをテストするために少額の資金が直接 Tornado Cash に送金されたため、観察者を不安にさせました。 Kraken がエクスプロイトの実際の規模を最終的に通知する前に、Kraken のテスト プロセスの一部の手順がソーシャル メディアに漏洩しました。  

バグ報奨金の問題については議論されていないが、CertiKは資金を返還するために報奨金は必要なかったと主張し続けている。 これまでのところ、Kraken のセキュリティ チームは CertiK に対する報奨金を発表していません。  

クラーケンは資金をすべて受け取ったことを認める

CertiK は、集中化された Kraken プラットフォーム上で残高を生成し、それらの口座に代わって出金を実行しました。 

CertiKのリターンが不正確だったというKrakenの主張が最も物議を醸した。 しかし、これは数日後に否定されました。 Krakenの最高セキュリティ責任者ニック・パーココ氏は、資金は取引手数料を差し引いて全額返還されたと発表した。  

更新: 資金が返還されたことを確認できました (手数料による少額の損失を除く)。 https://t.co/cHkjPt3m2A

— ニック・パーココ (@c7five) 2024 年 6 月 20 日

CertiKの会計報告では、ETH、USDT、XMRのみの出金が報告されているが、Krakenは155,818.44 MATIC も出金され、混在していると主張している。 引き出し額は約 300 万ドルと推定されていますが、Certik は悪用を証明するために少額を使用しました。  

このエクスプロイトをさらに分析すると、CertiK は存在しない MATIC 残高を生成したが、トランザクションは失敗し、Kraken コールド ウォレットから資金が流出しなかったことが判明しました。 生成された MATIC 単なる内部エクスプロイトであり、実際の Polygon トークンの転送にはつながりませんでした。  

#Certik : 一見したところ、Certik のエクスプロイトは以下で構成されているように見えます:
1. 契約の作成tracそれに資金の入金
2. LogFeeTransfer() イベントの生成
3. @krakenfx は入金アドレスで LogFeeTransfer() をスキャンし、 MATIC本当に存在するかどうかは検証していないようですpic.twitter.com/QI4bdXJdbz

— Naïm Boubziz (@BrutalTrade) 2024 年 6 月 20 日

場合によっては、他のプロトコルがフラッシュローンで攻撃されているため、資金の存在をシミュレートできます。 

CertiK は、 エクスプロイトが再び増加し、アプリとプロトコルから 3,000 万ドル以上が盗まれたと主張しました。 この数には、個々のウォレットに対する攻撃は含まれません。

トルネード Cash 制裁後何年も経った今でも運用されている

Tornado Cash ミキサーは、ミキサーを通過した後の資金がtracできないため、依然として悪用を促進しています。 ウォレットとアドレスをブラックリストに登録した後でも、ハッカーが ETH を混合して新しい未知のウォレットに送信することを妨げるものはありません。  

こちらもお読みください:トルネードCash訴訟の背後にいるグループが米国財務省に敗訴

2022 年以降、Tornado Cash リソースは限られていますが、サービスはまだ運営されています。 

Tornado Cashの創設者、Alexey Pertsev は 2024 年 5 月に判決を受け、懲役刑の可能性がある。 しかし、制裁と禁止は誰もがミキサーを使用することを妨げるものではなく、米国外の管轄区域には影響を与えません。

USDC などの一部のコインは、すべての Tornado Cash tracブラックリストに登録しています。tracに送金された資金を再度回収することはできません。 USDC は、コインを一元的に凍結する機能でも知られています。 Kraken にとって、Tornado Cash tracアドレスへの出金機能も大きな脆弱性でした。 ほとんどのトークン作成者はトークンを管理しないことを選択しており、トークンは盗難に対して脆弱であり、混合によって回復不可能なままになっています。  

---

Hristina Vasileva によるクリプトポリタンのレポート

Cryptopolitan Academy：市場の揺れにうんざりしていませんか？ DeFi安定した受動的収入の構築にどのように役立つかを学びます今すぐ登録してください