jakiro
المؤلف: متسلق ، عالم الرؤية Baitchain
في 19 يونيو /
ورد رأس الرمح في الحادث مباشرة إلى Certik وكالة أمن blockchain.كما تم إرجاع أصول تشفير المعاملات اللازمة التي تم إنشاؤها بواسطة الاختبار ، لكن إجمالي كمية Kraken مختلفة.
من أجل النزاع بين الطرفين ، هناك وجهة نظر مفادها أن Certik قد يكون لها تصرفات ذاتية السرقة المسروقة ، لكن بعض الناس يعتقدون أن Certik ليس منطقيًا. قد يكون تركيز المشكلة في عدد المكافآت.
الكلمات ضد كلا الطرفين
كان سبب الحادث هو أن باحث أمني أبلغ Kraken في 9 يونيو أن ثغرة أمنية يمكنها سحب الأصول الحقيقية عن طريق تزوير الودائع.بعد ذلك ، اكتشف Kraken وثبات الضعف مع ملاحظة أن عنوان الحساب ذي الصلة قد استخدم الضعف لسحب كمية كبيرة من الأصول.
لذلك في 19 يونيو ، قال كبير مسؤولي الأمن في Kraken نيك بيرسيوكو إن حسابين يتعلقان بباحث الأمن قد استخدموا الضعف لسحب الأصول الرقمية التي تزيد قيمتها عن 3 ملايين دولار.طلبنا التحدث إلى الشركة حيث كان الطرف الآخر ، لكن الطرف الآخر لم يوافق على استرداد أي أموال.
في ضوء ذلك ، يعتقد Kraken أن السلوك لم يعد متسللًا قبعة بيضاء ، ولكنه ابتزاز.
فيما يتعلق بتصريحات Kraken والرأي العام للمجتمع ، صرح Certik مرارًا وتكرارًا ، مدعيا أنه بريء ، ونشر منشورًا لشرح خصوصيات الحادث.
قال Certik إن هناك سلسلة من الثغرات الخطيرة في Kraken ، والتي قد تؤدي إلى مئات الملايين من الدولارات من الخسائر.لا يمكن لنظام ودائع Kraken التمييز بشكل فعال بين حالة التحويل الداخلي المختلفة ، وخطر الجهات الفاعلة الضارة في معاملات الإيداع تزوير وسحب خطر الأموال المزيفة.
أثناء الاختبار ، يمكن إيداع ملايين الدولارات من الأموال الخاطئة في حساب Kraken ، ويمكن تحويل أكثر من مليون دولار من العملات المشفرة المزورة إلى أصول صالحة ، ولم يثير نظام Kraken أي إنذار.بعد إخطار Certik Kraken ، قام Kraken بتصنيف الضعف على أنه “حرجة” ومسبق المشكلة.
>
ومع ذلك ، أشار Certik إلى أن فريق Kraken Security هدد لاحقًا موظفي Certik بطلب سداد العملات المشفرة غير المعقولة في غضون وقت غير معقول ولم يقدم عنوان السداد.من أجل حماية أمن المستخدمين ، قرر Certik الكشف عن الأمر ، ودعا Kraken إلى إيقاف أي تهديد للمتسلل White Hat والتأكيد على التعامل مع المخاطر من خلال التعاون.
بالإضافة إلى ذلك ، ذكرت Certik أيضًا أنها أكدت أنها أعادت جميع الأموال المحتفظ بها ، لكن المبلغ الإجمالي كان غير متسق مع طلب Kraken.يتضمن مبلغ الإرجاع 734.19215 ETH ، 29،001 USDT ، و 1021.1 XMR ، بينما يطلب Kraken المبلغ الذي سيتم إرجاعه إلى 155818.4468 Matic ، 907400.1803 USDT ، 475.5557871 ETH ، و 1089.794737 XMR.
>
في أحدث خطاب للرد العام ، أجاب Certik على 10 نوى من الحادث ، وذكر خاصة أنهم لم يشاركوا في خطة Kraken Bounty ، وقد تم نشر جميع عناوين ودائع الاختبار من البداية.
آراء المجتمع مختلفة
أدرجت Certik خط الحدث الكامل للحادث ، ولكن العديد من المجتمعات ، بما في ذلك باحث الأمن tayvano ، أصدرت أسئلة.
>
وفقًا لشركة Certik ، بدأ الوقت الذي اختبروه واستنشاق Kraken في 5 يونيو.ومع ذلك ، لم تجد tayvano فقط أن هذه العناوين قد تم العثور عليها لتكون كبيرة من خلال منصات تداول أخرى من خلال عنوان النقل للسلسلة ، ولكن أيضًا تم الكشف عن سلوك اختبار اختبار Kraken طالما كان أطول.
يوفر Cyversalerts ، Cyversalerts ، tayvano مع ثلاثة عناوين أسنان تتعلق بالحدث:
0x3C6A231B1FFFE2AC29AD9C7E392C830295A97BB3 0XDC6AF6FD88075D5FF3C4F2984630C0E776BC 0X03D23CB3C1F27861FFFA
>
ما ورد أعلاه عبارة عن سجلات انسحاب كبيرة في السلسلة.@Tayvano ، أشار أيضًا إلى أنه بعد هذه العناوين استخرجت كمية كبيرة من الأموال ، تم إجراء الحد الأقصى لتبادل القيمة بفترة عدة مرات من خلال منصة تبادل العملة المشفرة الفورية.
قالت tayvano إنها في كثير من الأحيان رأت هذا النموذج واعتبرته وسيلة لتمييز عنوان الضحية وعنوان هاكر عند تسرب المفتاح الفوضوي.
>
وجد Tayvano أيضًا أن 0x3C6A231B1FFE2AC29AD9C7E392C830295A97BB3 نقل 154،000 matic إلى Changenow.
>
وقال الجزء الداخلي من Coinbase @jconorgrogan إن عنوان الموظفين المعنيين نقل 1200 ماتيتش إلى Tornadocash ، والذي كان يهدف إلى تبادل الأموال من خلال الخلاط.
بالإضافة إلى ذلك ، وجد@Tayvano أيضًا أن Certik قد تم تنفيذه بواسطة Certik في وقت مبكر من 5 يونيو من خلال مقارنة عنوان إيداع موظفي أمن Certik.وقال إنه إذا عدنا إلى الجدول الزمني لـ Certik ، فإن انسحاب “الجولة الأولى” و “الجولة الثانية” ليس في الواقع الجولة الأولى والثانية ، مثل الجولة السابعة.
في هذا الصدد ، شكك مير دولف ، كبير فنيو شركة الأمن سفر ، أيضًا في اكتشاف Certik لنقاط الضعف في Kraken ، وقال إن Certik كان يشتبه في قيامه بإجراء نفس الاختبار على OKX و Coinbase.
نقلت Meir Dolev عن المحتوى الذي شاركه Tayvano ، وهو: 0x1d … 7AC9 أنشأت العقد 0x45 … CEA9 في 24 مايو ، ونفذت الأنشطة ذات الصلة.
كما يشتبه في هذا العقد (0x45 … CEA9) على القاعدة أيضًا يختبر نفس الاختبارات على OKX و Coinbase لتحديد ما إذا كان للتبادلان نفس الثغرات في Kraken.
وقال عضو آخر في المجتمع@0xboboshanti أيضًا إن عنوانًا نشره باحث أمن Certik على Twitter من قبل قد تم تنفيذه في وقت مبكر من 27 مايو.وهذا يتناقض مع جدول حادث Certik.قامت Certik Tornado TXS بتمويل محفظة تفاعلت مؤخرًا مع نفس العقد.
قام تايلور موناهان ، الرئيس التنفيذي ومؤسس مدير محفظة Ethereum ، بتحليل إمكانية الحدث ، قائلاً إن Certik يجب أن يخاف من محامي Kraken ، وتلف سمعتها ، وكيف قد تؤثر هذه العاصفة على داخلي داخلي.
وأشارت أيضًا إلى أنه نظرًا لوجود العديد من المشاريع المشفرة لـ Certik التي تم مراجعتها في الماضي ، فقد تم تداولها على الإنترنت حول تخمين إمكانية تشغيل الموظفين الداخليين.
ومع ذلك ، قدم بعض KOL المعروفة في الصناعة وجهات نظر مختلفة ، معتقدًا أن Certik ليس بالضرورة متسللًا حقيقيًا ، وهم يتكهنون بالحادث.قال الباحث المشفر @boxmrchen إنه ليس بالضرورة هو المتسلل لفهم certik ، ولكن قد يرغب في مزيد من المكافأة.ويأمل أيضًا أن يكون Kraken على استعداد لدفع كمية Certik إلى مقدار White Hat Bounty.
قال باحث Cryptoinsight Haotian إن Certik قد وجد Kraken الضعف ، مما يشير إلى أن الفكر في القلب لم يكن سلوكًا “المتسللين”.
ملخص
بالنسبة إلى “الغابة المظلمة والعميقة” في سوق التشفير ، فليس من المستغرب أن يكون المتسللون الذين يهاجمون الحوادث لا نهاية له وليس مفاجئًا ، لكن من السهل بلا شك جذب النقد مع لافتة “القبعة البيضاء”.على الرغم من أن Certik بذل قصارى جهده لتوضيح سلوك “العدالة” للمساعدة في مشروع حزب المشروع ، إلا أن Certik يحتاج حقًا إلى تقديم تفسير معقول حول مسألة أفراد المجتمع المذكورة أعلاه.
ومع ذلك ، كما قال Certik ، فشل نظام الدفاع العميق في Kraken في اكتشاف العديد من معاملات الاختبار ، مما قد يؤدي بالفعل إلى خسائر أكبر في المخاطر.يجب أن يعمل الجانبان معًا لمواجهة المخاطر وضمان مستقبل Web3.
