Kraken과 CertiK 화이트 해커 사건 추적

ChainCatcher 메시지, Kraken Exchange의 최고 보안 책임자 Nick Percoco가 소셜 플랫폼에 글을 올려 업데이트 정보를 전했습니다. 현재 확인된 바에 따르면, 이전의 취약점으로 인해 인출된 자금이 반환되었으며(소액의 수수료 손실 제외)입니다.이전에 CertiK는 모든 자금을 반환했다고 밝혔지만 Kraken의 요구와 일치하지 않으며, 취약점 보상금을 요청하지 않았습니다.

ChainCatcher 메시지, CertiK는 X 플랫폼에서 CertiK-Kraken 화이트 해커 사건에 대한 일련의 질문과 답변을 발표했습니다. CertiK는 실제 Kraken 사용자의 자산이 연구 활동에 직접 참여하지 않았다고 밝혔습니다. Kraken과의 소통(이메일 및 화상 회의를 통해)에서 CertiK는 항상 그들에게 자금을 반환할 것이라고 보장했습니다. 현재 보유하고 있는 모든 자금은 반환되었지만, 총 금액은 Kraken의 요구와 다릅니다. CertiK는 자신의 기록에 따라 반환을 진행했습니다.CertiK는 Kraken에 취약점 세부 정보를 자세히 공개했으며, 47분 만에 수정되었습니다. 테스트가 끝난 후, CertiK는 다양한 방법으로 Kraken에 신속하게 통보하고 상세 보고서를 보냈습니다. CertiK는 Kraken의 보상 프로그램에 참여하지 않았으며, 어떤 보상 요청도 언급하지 않았고, 문제 해결에 중점을 두었습니다.또한, CertiK는 여러 차례 대규모 테스트를 진행한 것은 Kraken의 보호 및 리스크 관리의 한계를 시험하기 위함이라고 밝혔습니다. 여러 날에 걸쳐 수차례 테스트를 진행하고 약 300만 달러에 달하는 암호화폐를 사용했음에도 불구하고 어떤 경고도 발생하지 않았으며, 여전히 제한 사항을 파악하지 못하고 있습니다.

ChainCatcher 메시지, Kraken과 CertiK 간의 보안 취약점 보고 논란에 대해, 보안 회사 Cyvers의 최고 기술 책임자 Meir Dolev는 소셜 플랫폼에서 이전에 보안 연구원 @tayvano가 공유한 내용을 인용하여 Certik이 언급한 6월 5일 발견된 취약점의 시간을 의문시했습니다.0x1d...7ac9 주소는 5월 24일 Base 네트워크에서 계약 0x45...CeA9를 생성하고 관련 활동을 진행했으며, Certik 테스트 주소도 이 알려지지 않은 주소와 동일한 서명 해시를 사용한 적이 있습니다. 의심되는 이 Base에 배포된 계약(0x45...CeA9)은 OKX와 Coinbase에 대해서도 동일한 테스트를 진행하여 이 두 거래소가 Kraken과 동일한 취약점을 가지고 있는지 확인했습니다.

Kraken은 CertiK가 "갈취"하고 있다고 주장하며, CertiK는 직원들이 Kraken의 위협을 받았다고 주장하고 있다.

ChainCatcher 메시지, 블록체인 보안 기관 CertiK가 소셜 플랫폼에서 Kraken 거래소에서 수억 달러의 잠재적 손실을 초래할 수 있는 일련의 심각한 취약점을 발견했다고 발표했습니다.CertiK의 조사에 따르면, Kraken의 입금 시스템은 서로 다른 내부 이체 상태를 효과적으로 구분할 수 없으며, 악의적인 행위자가 입금 거래를 위조하고 위조 자금을 인출할 위험이 존재합니다. 테스트 기간 동안 수백만 달러의 허위 자금이 Kraken 계좌에 입금될 수 있었고, 100만 달러 이상의 위조 암호화폐가 유효 자산으로 전환되어 인출될 수 있었으며, Kraken 시스템은 어떤 경고도 발생하지 않았습니다.CertiK가 Kraken에 통보한 후, Kraken은 취약점을 "심각" (Critical)으로 분류하고 문제를 초기 수정했습니다. 그러나 CertiK는 Kraken 보안 팀이 이후 CertiK 직원에게 위협을 가하며 불합리한 시간 내에 일치하지 않는 암호화폐를 반환할 것을 요구했으며, 반환 주소를 제공하지 않았다고 지적했습니다. 사용자 안전을 보호하기 위해, CertiK는 이 사건을 공개하기로 결정하고 Kraken이 화이트 해커에 대한 모든 위협을 중단할 것을 촉구하며, 협력을 통해 위험에 대응하고 Web3의 미래를 공동으로 보장할 것을 강조했습니다.