智能trac安全公司 CertiK 继续声称其针对 Kraken 交易所的行为是道德的,并且正在尝试评估安全缺陷的全部范围。 测试人员还声称他们以实物方式返还了所有资金,并且没有勒索 Kraken。
CertiK 团队制定了一份新声明来反驳 Kraken 之前的一些说法。 测试人员拒绝了赏金要求,表示他们的首要任务是修复将资金打印到账户的漏洞。
阅读:随着对 Certik 的批评增多,Kraken 追回了 300 万美元
所有提取的资金均来自Kraken的冷钱包,没有用户账户受到影响。 这些币是根据 CertiK 自己的计算和交易记录退回的。
CertiK 最具争议的行为包括向 Tornado Cash。 该混币器此前曾面临美国财政部的制裁
CertiK 非常了解 Tornado Cash 的使用情况,并将转账作为其利用的证据。 此前,CertiK 还 trac了 Tornado Cash 使用情况,作为旧漏洞的一部分。 Certik 的主要关注点之一仍然是智能trac的审核,智能合约通常包含类似的逻辑缺陷,导致无限的代币创建。
CertiK 的道德黑客行为让观察者感到不安,因为小额资金被直接发送到 Tornado Cash 来测试该漏洞。 在 Kraken 最终通知其漏洞的实际规模之前,Kraken 测试过程中的一些步骤已在社交媒体上泄露。
Bug 赏金的问题尚未得到讨论,但 CertiK 一直声称它不需要赏金来返还资金。 到目前为止,Kraken 的安全团队尚未宣布对 CertiK 进行任何悬赏。
Kraken 承认收到所有资金
CertiK 在集中式 Kraken 平台上生成余额并代表这些账户执行提款。
Kraken 声称 CertiK 的回报不准确的说法最具争议。 但几天后,这一说法遭到驳斥。 Kraken 首席安全官 Nick Percoco 宣布,扣除交易费用后,资金已全额返还。
CertiK 的账目显示仅提取了 ETH、USDT 和 XMR,而 Kraken 还声称 155,818.44 MATIC 也被提取且混合。 尽管 Certik 使用了一小笔资金来证明该漏洞,但预计提款金额约为 300 万美元。
对漏洞的进一步分析表明,CertiK 生成了不存在的 MATIC 余额,但交易失败,并且没有资金离开 Kraken 冷钱包。 生成的 MATIC 只是一个内部漏洞,不会导致真正的 Polygon 代币的转移。
在某些情况下,可以模拟资金的存在,因为其他协议已受到闪电贷的攻击。
CertiK 声称, 漏洞再次出现,应用程序和协议被盗的金额超过 3000 万美元。 该计数不包括针对个人钱包的攻击。
制裁后数年,龙卷风 Cash 仍在运营
Tornado Cash 混合器仍在促进漏洞利用,因为资金在通过混合器后就无法trac。 即使将钱包和地址列入黑名单,也无法阻止黑客混合 ETH 并将其发送到新的未知钱包。
自 2022 年以来,Tornado Cash 资源有限,但该服务仍在运营。
Tornado Cash的创始人 Alexey Pertsev 于 2024 年 5 月被判刑,可能会入狱数年。 然而,制裁和禁令并不能阻止任何人使用混合器,这不会影响美国以外的司法管辖区。
一些代币,例如 USDC,已将所有 Tornado Cash trac列入黑名单。 发送至trac任何资金均无法再次收回。 USDC 还以其集中冻结代币的能力而闻名。 对于 Kraken 来说,提现到 Tornado Cash trac地址的能力也是一个主要漏洞。 大多数代币生产者选择不对代币进行控制,这使得它们很容易被盗窃,并且无法通过混合来恢复。
克里斯蒂娜·瓦西列娃 (Hristina Vasieva) 的《密码城》报道
钥匙差线:秘密工具加密项目用于获得保证媒体覆盖
