CertiK admite exploração de US$ 3 milhões de Kraken e levanta sobrancelhas por enviar criptografia para Tornado Cash

E aí, pessoal! Prontos para embarcar na viagem maluca das notícias de cripto? No nosso canal do Telegram, vamos explorar o mundo das criptomoedas com leveza e bom humor. É como um papo de bar sobre Bitcoin, só que sem a ressaca no dia seguinte! 😄 Junte-se a nós agora e vamos desvendar esse universo juntos! 💸🚀

Junte-se ao Telegram


Como analista experiente em segurança cibernética, considero a situação entre CertiK e Kraken bastante intrigante, mas preocupante. Embora a CertiK afirme ter descoberto vulnerabilidades críticas na exchange Kraken que poderiam potencialmente levar a perdas significativas, o cronograma dos eventos e algumas de suas ações levantam questões.


Como investidor em criptografia, eu colocaria desta forma: recentemente descobri que um problema de segurança em meus ativos digitais foi explorado, resultando na retirada não autorizada de aproximadamente US$ 3 milhões em tokens da plataforma Kraken. A parte responsável por esta violação foi identificada como CertiK, uma empresa de segurança blockchain.

A CertiK, uma empresa de segurança blockchain com sede em Nova York, confessou ser responsável por uma exploração de bug que levou à retirada ilícita de aproximadamente US$ 3 milhões em tokens da exchange de ativos digitais Kraken.

Como pesquisador da CertiK, identifiquei uma série de vulnerabilidades significativas na exchange Kraken durante nossa análise em 19 de junho. Estas fraquezas tinham o potencial de resultar em perdas financeiras substanciais, atingindo potencialmente centenas de milhões de dólares.

Como analista, descobri algumas vulnerabilidades significativas nos sistemas da exchange KrakenFX, conforme relatado pela CertiK. Uma destas vulnerabilidades reside no sistema de depósitos e pode resultar potencialmente em perdas financeiras substanciais, atingindo centenas de milhões de dólares, se não for abordada. Neste caso específico, o sistema de depósito pode não conseguir distinguir eficazmente entre várias transações internas.

— CertiK (@CertiK) 19 de junho de 2024

Como analista de segurança da CertiK, identifiquei um problema com a exchange Kraken já em 5 de junho. Durante a nossa avaliação, descobrimos que o sistema de defesa profunda do Kraken foi violado de vários ângulos. Nossa equipe conseguiu contornar os controles de risco de retirada da exchange sem ser detectada, levantando preocupações sobre a eficácia de suas medidas de segurança.

Como pesquisador que investiga esse problema, descobri uma descoberta preocupante: mais de um milhão de dólares em criptomoedas fabricadas poderiam ser retiradas da conta e trocadas por criptomoedas legítimas. Isto foi descoberto durante testes de rotina, mas nenhum alerta foi acionado durante o período de vários dias. Só depois de relatarmos oficialmente o incidente é que a Kraken tomou medidas e garantiu a segurança das contas de teste.

Certificado

Depois de encontrar defeitos, a CertiK notificou o departamento de segurança da Kraken, que considerou o problema “crítico”. Posteriormente, uma vez resolvida a exploração, a CertiK afirma que o pessoal de segurança da Kraken pressionou os funcionários da CertiK por uma quantidade excessiva de criptografia em um curto espaço de tempo, sem fornecer endereços de reembolso.

A CertiK solicitou que a Kraken suspendesse quaisquer ameaças contra hackers éticos, reafirmando sua dedicação à comunidade web3 no interesse da transparência. No entanto, esta situação gerou debate e dúvidas entre os entusiastas do blockchain, já que especialistas identificaram inconsistências na conta e nas declarações da CertiK.

Rindo incontrolavelmente, você está absolutamente incorreto ao rotular esse comportamento como “pesquisa de segurança de chapéu branco”.

Em nenhum cenário concebível a situação de Kraken se qualifica como tal.

Kraken demonstrou notável contenção ao não considerar imediatamente isso um roubo em grande escala acompanhado de um elemento de extorsão.

— Tay (@tayvano_) 19 de junho de 2024

De acordo com Meir Dolev, CTO da Cyver, havia sinais de atividades suspeitas na conta X da CertiK, que está ligada a múltiplas redes blockchain, na época em que o incidente Kraken foi relatado pela primeira vez. Esta descoberta levanta dúvidas sobre a sequência de eventos divulgada pela CertiK.

Após a ocorrência do incidente @krakenfx, atividades comparáveis ​​foram identificadas na base há aproximadamente 26 dias. O mesmo hash suspeito também foi detectado no Polygon há cerca de 14 dias. Portanto, é plausível que Cetik tenha descoberto a vulnerabilidade até 5 de junho, de acordo com o cronograma declarado?

— Meir Dolev (@Meir_Dv) 19 de junho de 2024

Como um investidor criptográfico seguindo o tópico da CertiK, me deparei com uma atualização preocupante do diretor da Coinbase, Conor Grogan. Em uma postagem de acompanhamento, ele revelou que alguns endereços vinculados ao CertiK transferiram uma parte de suas criptomoedas retiradas para o Tornado Cash – um serviço de mistura sob sanção do Departamento de Controle de Ativos Estrangeiros (OFAC) do Departamento do Tesouro dos EUA. Desde 2019, estima-se que esta plataforma facilitou cerca de 7 mil milhões de dólares em atividades de lavagem de criptomoedas. Esta divulgação levanta questões sobre as medidas de segurança e conformidade implementadas pela CertiK.

Relatórios afirmam que foi descoberto que endereços vinculados ao CertiK transferiram parte da criptomoeda capturada para ChangeNOW, uma bolsa descentralizada. No momento, a CertiK permaneceu em silêncio sobre suas interações com Tornado Cash e ChangeNOW. No entanto, eles afirmam que todos os tokens retirados foram devolvidos ao Kraken.

2024-06-20 11:28