Blockchain-beveiligingsbedrijf CertiK heeft bevestigd dat het verantwoordelijk was voor een bug-exploit die leidde tot een ongeautoriseerde opname van $3 miljoen aan tokens van Kraken. Het in New York gevestigde bedrijf CertiK gaf toe dat het achter de exploit zat die resulteerde in de ongeautoriseerde opname van $3 miljoen aan tokens van de Kraken-crypto exchange.
In een thread op X op 19 juni onthulde CertiK dat het een aantal “kritieke kwetsbaarheden” had ontdekt in Kraken’s systeem, die mogelijk tot honderden miljoenen dollars aan verliezen hadden kunnen leiden.
Het blockchain-beveiligingsbedrijf ontdekte het probleem voor het eerst op 5 juni, en Kraken slaagde niet voor meerdere tests, wat aangaf dat het verdedigingssysteem van de exchange op verschillende punten was gecompromitteerd. CertiK gaf aan dat het erin slaagde om de opname-risicocontroles van Kraken te omzeilen zonder dat er waarschuwingen werden geactiveerd.
“Een grote hoeveelheid gefabriceerde crypto (ter waarde van meer dan $1 miljoen) kon worden opgenomen en omgezet in geldige cryptos. Nog zorgwekkender was dat er tijdens de meerdaagse testperiode geen waarschuwingen werden geactiveerd. Kraken reageerde pas en sloot de testaccounts dagen nadat we het incident officieel hadden gemeld,” aldus het bedrijf.
Nadat de kwetsbaarheden waren ontdekt, informeerde CertiK Kraken, waarvan het beveiligingsteam het probleem als “kritiek” classificeerde. Echter, nadat de exploit was geïdentificeerd en verholpen, beweert CertiK dat Kraken’s beveiligingsteam individuele CertiK-medewerkers bedreigde en terugbetaling eiste van een “niet-overeenkomend bedrag aan crypto binnen een onredelijke tijd, zonder terugbetalingsadressen te verstrekken.”
CertiK riep Kraken op om “alle bedreigingen tegen whitehat-hackers te staken” en benadrukte zijn toewijding aan de web3-gemeenschap “in de geest van transparantie.” Dit incident heeft echter tot controverse en scepsis geleid binnen de blockchain-gemeenschap, aangezien onderzoekers discrepanties in de tijdlijn en claims van CertiK hebben aangetoond.
Zoals Cyvers Chief Technology Officer Meir Dolev opmerkte op zijn X-account, begon een adres dat gelinkt is aan CertiK al weken voor het Kraken-incident verdachte activiteiten te vertonen op verschillende blockchain-netwerken. Dit roept vragen op over de tijdlijn die CertiK heeft verstrekt.
In een vervolgbericht onder de thread van CertiK wees Coinbase-directeur Conor Grogan erop dat adressen geassocieerd met CertiK een deel van de opgenomen crypto hadden verstuurd naar Tornado Cash, een mixdienst die door het Amerikaanse ministerie van Financiën (OFAC) is gesanctioneerd voor het faciliteren van ongeveer $7 miljard aan crypto-witwassen sinds 2019.
Er zijn ook meldingen dat adressen die gelinkt zijn aan CertiK delen van de opgenomen crypto hebben verstuurd naar ChangeNOW, een non-custodial crypto-exchange. Tot nu toe heeft CertiK geen openbare verklaring gegeven over waarom het contact had met Tornado Cash en ChangeNOW, hoewel het beweert alle opgenomen tokens te hebben teruggegeven aan Kraken.