Kraken と CertiK ホワイトハットハッカー事件追跡

ChainCatcher のメッセージによると、Kraken Exchange の最高セキュリティ責任者 Nick Percoco がソーシャルプラットフォームで情報を更新し、以前の脆弱性により引き出された資金が返還されたことを確認できると述べています（少額の手数料損失を除く）。以前、CertiK は全額返還したと述べましたが、Kraken の要求とは一致せず、脆弱性報酬を求めていませんでした。

ChainCatcher のメッセージ、CertiK は X プラットフォームで CertiK-Kraken ホワイトハット事件に関する一連の Q&A を発表しました。CertiK は、実際の Kraken ユーザーの資産が研究活動に直接関与していないと述べています。Kraken とのコミュニケーション（電子メールとビデオ会議を通じて）において、CertiK は常に彼らに資金を返還することを保証してきました。現在保有しているすべての資金は返還されましたが、総額は Kraken の要求とは異なります。CertiK は自社の記録に基づいて返還を行いました。CertiK は Kraken に脆弱性の詳細を詳しく開示し、47 分以内に修正を受けました。テスト終了後、CertiK はさまざまな方法で Kraken に迅速に通知し、詳細な報告書を送信しました。CertiK は Kraken のバウンティプログラムには参加しておらず、いかなるバウンティリクエストにも言及しておらず、問題の解決を確実にすることに重点を置いています。さらに、CertiK は複数回の大規模テストを実施したのは、Kraken の保護とリスク管理の限界をテストするためです。数日間にわたる複数回のテストと、約三百万ドル相当の暗号通貨を使用しても、いかなる警告も発動せず、依然として制限を把握できていません。

ChainCatcher のメッセージ、Kraken と CertiK の間のセキュリティ脆弱性報告に関する論争について、セキュリティ会社 Cyvers の最高技術責任者 Meir Dolev は、ソーシャルプラットフォームで以前のセキュリティ研究者 @tayvano が共有した内容を引用し、Certik が述べた 6 月 5 日の脆弱性発見日時に疑問を呈しました。0x1d...7ac9 アドレスは 5 月 24 日に Base ネットワーク上で契約 0x45...CeA9 を作成し、関連する活動を行いました。一方、Certik のテストアドレスもこの未知のアドレスと同じ署名ハッシュを使用していました。この Base 上にデプロイされた契約（0x45...CeA9）は、OKX と Coinbase に対しても同様のテストを行い、これら二つの取引所が Kraken と同じ脆弱性を持っているかどうかを確認した疑いがあります。

KrakenはCertiKを「恐喝」と呼び、CertiKは従業員がKrakenから脅迫を受けていると主張しています。

ChainCatcher のメッセージによると、ブロックチェーンセキュリティ機関 CertiK は、Kraken 取引所で一連の深刻な脆弱性を発見したとソーシャルプラットフォームで発表しました。これらの脆弱性は、数億ドルの潜在的損失を引き起こす可能性があります。CertiK の調査によると、Kraken の入金システムは異なる内部転送状態を効果的に区別できず、悪意のある行為者が入金取引を偽造し、偽の資金を引き出すリスクが存在します。テスト中に、数百万ドルの偽の資金が Kraken アカウントに入金され、100 万ドル以上の偽の暗号通貨が有効な資産に変換されて引き出される可能性があり、Kraken システムは何の警告も発しませんでした。CertiK が Kraken に通知した後、Kraken は脆弱性を「深刻」（Critical）として分類し、問題を初期的に修正しました。しかし、CertiK は、Kraken のセキュリティチームがその後、CertiK の従業員に対して脅迫し、不合理な時間内に不一致の暗号通貨を返済するよう要求し、返済先のアドレスを提供しなかったと指摘しています。ユーザーの安全を守るために、CertiK はこの件を公表し、Kraken に対してホワイトハッカーへのいかなる脅威も停止するよう呼びかけ、リスクに対処するための協力を強調し、Web3 の未来を共に守ることを訴えました。