來源:CertiK中文社區
CertiK近期在Kraken交易所發現了一系列的嚴重漏洞,這些漏洞可能潛在地導致數億美元的損失。
事件概述
從發現Kraken交易所存款系統可能無法區分不同的內部轉帳狀態開始,CertiK進行了全面的調查,並提出了三個關鍵問題:
-
惡意行為者能否偽造一筆存款交易到Kraken帳戶?
-
惡意行為者能否提取偽造的資金?
-
在大額提款請求時,會觸發哪些風險控制和資產保護措施?
根據測試結果,Kraken交易所未通過所有這些測試,這表明Kraken的縱深防禦系統在多個方面都受到了威脅;數百萬美元可以存入任何Kraken帳戶。從帳戶中可以提取大量偽造的加密貨幣(價值超過100萬美元),並將其轉換為有效的加密貨幣。更糟的是,在為期數天的測試期間,沒有觸發任何警報。在我們正式報告事件幾天后,Kraken才做出回應並鎖定了測試帳戶。
發現後,CertiK通知了Kraken,其安全團隊將其分類為「Critical」:這是Kraken最嚴重的分類等級。在初步成功辨識和修復漏洞後,Kraken的安全營運團隊威脅個別CertiK員工,在不合理的時間內償還金額不符的加密貨幣,甚至沒有提供還款地址。
細節披露
為了社區可以更透明地了解事件全貌,CertiK提供了事件發生時間軸以及測試存款交易明細:
-
事件發生時間
-
測試存款交易明細
其中,CertiK指出:
-
白帽行動的事實:數百萬美金的加密貨幣是憑空鑄造的,在研究活動中,沒有真正的Kraken用戶資產被涉及。
-
更嚴重的安全問題:在幾天的時間裡,許多偽造的代幣被產生並提現為有效的加密貨幣,直到CertiK報告之前,沒有任何風險控製或預防機制被觸發。
-
真正的問題:為什麼Kraken的縱深防禦系統未能偵測到如此多的測試交易。從不同的測試帳戶中連續大額提現,是CertiK測試系統極限的一部分。
結語
本著透明的精神和對Web3社群的承諾,CertiK選擇公開此事以保護所有使用者的安全。 CertiK敦促Kraken交易所停止對白帽駭客的任何威脅,攜手合作,共同面對風險,並保障Web3的未來。