최고의 암호화폐 관련 정보를 이메일로 받아보세요.
- Certik의 행동은 암호화폐 커뮤니티를 당혹스럽게 했는데, 크라켄에 취약점이 알려지기 전까지 300만 달러 상당의 자금이 며칠 동안 묶여 있었기 때문입니다.
- 크라켄의 보안팀은 실수를 인정하고 서틱의 익스플로잇 분석 결과가 정확함을 시인했습니다.
- 토네이도 Cash 미국인에 대한 사용 금지 조치에도 불구하고 계속 운영되고 있습니다.
스마트trac보안 회사인 CertiK는 크라켄 거래소에 대한 자신들의 조치가 윤리적이었으며 보안 결함의 전체 범위를 파악하기 위한 것이었다고 계속 주장하고 있습니다. 또한 테스트 담당자들은 모든 자금을 현물로 반환했으며 크라켄으로부터 금품을 갈취하지 않았다고 주장합니다.
CertiK 팀은 Kraken의 이전 주장을 반박하는 새로운 성명을 발표했습니다. 테스터들은 현상금 요구를 부인하며, 계좌에 자금을 쉽게 입금할 수 있는 취약점을 수정하는 것이 최우선 과제라고 밝혔습니다.
기사: 크라켄, 서틱에 대한 비난 여론 거세 속 3백만 달러 회수
인출된 자금은 모두 Kraken의 콜드월렛에서 나왔으며, 사용자 계정에는 아무런 영향이 없었습니다. 코인 반환은 CertiK 자체 계산 및 거래 기록에 따른 것입니다.
CertiK의 가장 논란이 된 행위는 Tornado Cash. 이 코인 믹서는 이전에 제재를 미국 재무부로부터
CertiK는 토네이도 캐시(Tornado Cash 사용 사실을 잘 알고 있으며, 해당 이체 내역을 취약점 악용의 증거로 제시했습니다. CertiK는 이전에도 토네이도 Cash 를 이용한 여러 건의 취약점을 trac바 있습니다. CertiK의 주요 목표 중 하나는 스마트 계약에 대한 감사인데, 이러한 스마트trac에는 무제한 토큰 생성을 초래하는 유사한 논리적 결함이 종종 포함되어 있습니다.
CertiK의 윤리적 해킹 접근 방식은 관찰자들을 불안하게 만들었는데, 소액의 자금이 익스플로잇 테스트를 위해 Tornado Cash 로 직접 송금되었기 때문입니다. Kraken의 테스트 과정 중 일부는 Kraken이 익스플로잇의 실제 규모를 최종적으로 통보하기 전에 소셜 미디어에 유출되었습니다.
버그 현상금 지급 문제는 논의된 바 없지만, CertiK는 자금을 반환하는 데 현상금이 필요하지 않았다고 계속 주장하고 있습니다. 현재까지 Kraken의 보안팀은 CertiK에 대한 현상금 지급 계획을 발표하지 않았습니다.
크라켄은 모든 자금을 받았다고 인정했습니다
CertiK는 중앙 집중식 Kraken 플랫폼에서 잔액을 생성하고 해당 계정을 대신하여 출금을 수행했습니다.
크라켄이 서티크(CertiK)의 수익금 반환이 부정확하다고 주장한 부분이 가장 논란이 되었습니다. 그러나 이 주장은 며칠 후 반박되었습니다. 크라켄의 최고 보안 책임자 닉 퍼코코는 거래 수수료를 제외한 자금이 전액 반환되었다고 발표했습니다.
CertiK의 회계 보고서에 따르면 인출된 코인은 ETH, USDT, XMR뿐이었지만, Kraken은 155,818.44 MATIC 도 인출되어 혼합되었다고 주장했습니다. 인출액은 약 300만 달러로 추산되었지만, CertiK는 취약점을 입증하기 위해 소액의 금액만을 사용했습니다.
추가 분석 결과, CertiK는 존재하지 않는 MATIC 잔액을 생성했지만 거래는 실패했고 Kraken 콜드 월렛에서 자금이 유출되지 않았습니다. 생성된 MATIC 는 실제 Polygon 토큰의 전송으로 이어지지 않은 내부 공격용 도구였습니다.
일부 경우에는 자금의 존재를 가장할 수 있으며, 다른 프로토콜들이 플래시론 공격을 받은 바 있습니다.
CertiK는 해킹 공격이 다시 증가하여 앱과 프로토콜에서 3천만 달러 이상이 탈취되었다고 밝혔습니다. 이 수치에는 개별 지갑에 대한 공격은 포함되지 않습니다.
토네이도 Cash 제재가 가해진 지 수년이 지난 지금도 여전히 운영되고 있습니다
토네이도 Cash 믹서는 자금이 믹서를 거친 후에는 추적이trac하기 때문에 여전히 악용될 소지가 있습니다. 지갑과 주소를 블랙리스트에 추가하더라도 해커가 ETH를 믹싱하여 알 수 없는 새로운 지갑으로 전송하는 것을 막을 방법이 없습니다.
관련 기사: 토네이도 Cash 소송을 제기한 단체, 미국 재무부 상대로 패소
2022년 이후 토네이도 Cash 자원이 제한적이지만 서비스는 여전히 운영되고 있습니다.
토네이도 Cash(Tornado Cash)의 창립자 알렉세이 페르체프는 2024년 5월에 징역형을 선고받았습니다. 하지만 이러한 제재와 금지 조치에도 불구하고, 미국 이외의 지역에서는 해당 믹서(믹서)를 사용하는 것은 여전히 가능합니다.
USDC와 같은 일부 코인은 모든 토네이도 캐시(Tornado Cash ) 계약을 블랙trac에 올렸습니다. 해당trac으로 송금된 자금은 복구할 수 없습니다. USDC는 또한 코인을 동결할 수 있는 중앙 집중식 기능을 가지고 있는 것으로 알려져 있습니다. 크라켄(Kraken)의 경우, 토네이도 Cash trac주소로 자금을 인출할 수 있다는 점 역시 주요 취약점이었습니다. 대부분의 토큰 발행자는 토큰에 대한 통제권을 행사하지 않기로 선택하며, 이로 인해 토큰은 도난에 취약해지고 믹싱을 통해 복구할 수 없게 됩니다.
Hristina Vasileva의 Cryptopolitan 보고
암호화폐 분야의 최고 전문가들이 이미 저희 뉴스레터를 구독하고 있습니다. 함께하고 싶으신가요? 지금 바로 참여하세요.
면책 조항: 제공된 정보는 투자 조언이 아닙니다. Cryptopolitan이 페이지에 제공된 정보를 바탕으로 이루어진 투자에 대해 어떠한 책임도 지지 않습니다.trondentdentdentdentdentdentdentdent .
화폐 속성 강좌
- 어떤 암호화폐로 돈을 벌 수 있을까요?
- 지갑으로 보안을 강화하는 방법 (그리고 실제로 사용할 만한 지갑은 무엇일까요?)
- 전문가들이 사용하는 잘 알려지지 않은 투자 전략
- 암호화폐 투자 시작하는 방법 (어떤 거래소를 사용해야 하는지, 어떤 암호화폐를 사는 것이 가장 좋은지 등)