في 19 يونيو، بالتوقيت المحلي في الولايات المتحدة، واجهت بورصة العملات المشفرة Kraken وشركة أمن blockchain CertiK مواجهة عامة على وسائل التواصل الاجتماعي حول سلسلة من الثغرات الأمنية الخطيرة.
نشأ الحادث عن ثغرة أمنية اكتشفها CertiK في Kraken: كشف نيك بيركوكو، كبير ضباط الأمن في Kraken، على تويتر أنه تلقى رسالة "خطيرة للغاية" من كراكن. تقرير الثغرات الأمنية في برنامج مكافآت الأخطاء الخاص بها، والذي ادعى أنه اكتشف ثغرات أمنية يمكن استغلالها من قبل البشر لزيادة أرصدة الحسابات. ووصفته CertiK بأنه اختبار أمني لبورصة Kraken، واعتقدت Kraken أن CertiK استفادت من الثغرة الأمنية الموجودة في المنتصف.
وفقًا لتحقيقات CertiK، لا يستطيع نظام الإيداع في Kraken التمييز بشكل فعال بين حالات التحويل الداخلي المختلفة، وهناك خطر من قيام الجهات الفاعلة الخبيثة بتزوير معاملات الإيداع وسحب الأموال المزيفة. أثناء الاختبار، يمكن إيداع ملايين الدولارات من الأموال المزيفة في حسابات Kraken وسحب أكثر من مليون دولار من العملات المشفرة المزيفة إلى أصول صالحة دون تشغيل أي تنبيهات على نظام Kraken. وبعد أن أبلغت CertiK Kraken، صنفت Kraken الثغرة الأمنية على أنها "خطيرة". وتم حل المشكلة في البداية. ومع ذلك، أشار CertiK إلى أن فريق أمان Kraken قام بعد ذلك بتهديد موظفي CertiK وطالب بسداد العملة المشفرة غير المتطابقة خلال فترة زمنية غير معقولة دون تقديم عنوان سداد.
نشر نيك بيركوكو، كبير مسؤولي الأمن في Kraken Exchange، تحديثًا على المنصة الاجتماعية قائلًا إنه يمكن الآن التأكد من استرداد الأموال التي تم سحبها بسبب الثغرة الأمنية السابقة (مطروحًا منها خسارة رسوم بسيطة).
أعلنت CertiK عن سلسلة من الأسئلة والأجوبة حول حادثة القبعة البيضاء لـ CertiK-Kraken على منصة X. ذكرت CertiK أنه لم تكن هناك أصول لمستخدمي Kraken الحقيقيين متورطة بشكل مباشر في الأنشطة البحثية. وفي اتصالاتها مع Kraken (عبر البريد الإلكتروني ومؤتمرات الفيديو)، أكدت لهم CertiK دائمًا أنه سيتم إرجاع الأموال. تم إرجاع جميع الأموال المحتفظ بها حاليًا، لكن المبلغ الإجمالي يختلف عن طلب Kraken. تقوم CertiK بإرجاع المبالغ المدفوعة بناءً على سجلاتها الخاصة.
كشفت CertiK عن تفاصيل الثغرة الأمنية لـ Kraken وتم إصلاحها في غضون 47 دقيقة. بعد الاختبار، قامت CertiK على الفور بإخطار Kraken من خلال طرق متعددة وأرسلت تقريرًا مفصلاً. لا تشارك CertiK في برنامج المكافآت الخاص بـ Kraken ولم تذكر أي طلبات للمكافآت. وينصب التركيز على ضمان حل المشكلة.
بالإضافة إلى ذلك، كشفت CertiK عن الجدول الزمني الكامل وعناوين الإيداع.
وقال نيك بيركوكو، كبير مسؤولي الإستراتيجية في Kraken، إن منصة التداول تعتبر الخسارة الأخيرة التي بلغت حوالي 3 ملايين دولار بمثابة "قضية جنائية" وتقوم بالتنسيق مع سلطات إنفاذ القانون لاستعادة الأموال. وفقًا لنيك بيركوكو، سرق الباحثون الذين لم يذكر اسمهم ملايين الدولارات من العملات المشفرة من Kraken عن طريق سحب الأموال التي تم إيداعها في حساباتهم قبل اكتمال الإيداعات.
ردًا على النزاع حول تقارير الثغرات الأمنية بين Kraken وCertiK، ادعى المحقق على السلسلة @0xBoboShanti أن العنوان الذي نشره سابقًا باحث أمني في Certik قد تم فحصه واختباره في وقت مبكر من 27 مايو، وهو ما يتوافق مع الجدول الزمني لأحداث Certik. حدث الصراع. علاوة على ذلك، نشأت أموال عنوان الاختبار من معاملة Tornado من Certik، وكانت المحفظة تتفاعل مؤخرًا مع نفس العقد، وهو اكتشاف ربط الحادث بالباحثين الأمنيين الأصليين. وأشار الباحث الأمني أيضًا إلى أن تقرير Certik الخاص بالمعاملة كشف عن عنوان إيداع Kraken 0xa172342297f6e6d6e7fe5df752cbde0aa655e61c (MATIC). على شبكة إيثريوم، يتم استخدام هذا العنوان نفسه لعمليات السحب. تتضمن عناوين السحب المحددة: 0x3c6a231b1ffe2ac29ad9c7e392c8302955a97bb3 و0xdc6af6b6fd88075d55ff3c4f2984630c0ea776bc و0xc603d23fcb3c1a7d 1f27861aa5091ffa56 d3a599. تسحب عناوين السحب هذه مبالغ كبيرة من الأموال ثم تتخلص من UDDT وتستخدم ChangeNOW لإجراء عمليات تبادل ذات قيمة قصوى متعددة.
يُشتبه في أن هذا العقد (0x45...CeA9) الذي تم نشره على Base قد أجرى أيضًا نفس الاختبار على OKX وCoinbase لتحديد ما إذا كانت هاتان المنصتان لهما نفس الثغرة الأمنية الموجودة في Kraken.
انطلاقًا من المعلومات الأساسية، فإن مبلغ المكافأة لبرنامج مكافآت الأخطاء في Kraken كبير بالفعل.
تتراوح مكافأة أعلى مستوى من الحوادث الأمنية المشابهة لهذا الحادث بين مليون و1.5 مليون دولار أمريكي، وهو ما يتماشى مع مبلغ 3 ملايين دولار أمريكي الذي تطالب به Kraken. الفرق ليس صغيرا.
وقد أدى هذا أيضًا إلى الجدل العام حول هذا الحادث. وقال بعض الأشخاص في منطقة التعليق: "لا أعتقد أن على المتسلل إعادتها". وأجاب آخرون: هل تريد أن تأخذ مكافأة المليون أم الثلاثة ملايين؟ اذهب إلى السجن بسبب مكاسبك غير المشروعة؟
كشفت هذه الحادثة المثيرة للجدل أيضًا عن المخاطر الخفية في صناعة قرصنة القبعة البيضاء.
عندما تقوم شركات الأمن التي من المفترض أن تحمي العملاء من هجمات الثغرات الأمنية بمهاجمة العملاء بشكل استباقي، فإن أمن العملاء يذهب سدى. وهذا بلا شك شيء تحتاج صناعة العملات المشفرة إلى الاهتمام به. مشكلة كبيرة.
يجب أن يكون سلوك قراصنة القبعة البيضاء قانونيًا وممتثلًا ويحافظ على المعايير المناسبة لتجنب النزاعات القانونية والأخلاقية.
تم إعداد عملية الإنزال الجوي لرمز Hamster Kombat على الشبكة المفتوحة لجذب ملايين اللاعبين. سيعطي التوزيع الجوي الأولوية لمقاييس الربح لكل ساعة، مما يشجع اللعب الاستراتيجي على مجرد تجميع العملات.
ZeZhengلاحظ خبراء الأمن حدوث تحول في الاستراتيجية ، حيث تستهدف كوريا الشمالية الآن عدة شركات بدلاً من شركة واحدة في كل مرة.
Beincryptoكان لدى TRON's multi-sig ثغرة خطيرة. من المحتمل أن تكون الثغرة الأمنية قد استنزفت 500 مليون دولار من التوقيع المتعدد.
Beincryptoيحتفظ التبادل اللامركزي بأكثر من 390 مليون دولار من الرموز المقفلة اعتبارًا من يوم الثلاثاء.
Coindeskتمت مكافأة قراصنة القبعة البيضاء على حماية أصول مشفرة تزيد قيمتها عن 25 مليار دولار.
cryptopotatoقام قراصنة استنزفوا حوالي 625 مليون دولار من هجوم جسر رونين في مارس بتحويل الأموال من Ethereum إلى ...
Bitcoinist能赚就成
链向资讯BitcoinistX to Earn的本质是什么?真的所有事情都需要 to Earn吗?
链向资讯هل يبدو أن ألعاب الانتقال إلى الربح هي الشيء الكبير التالي في قطاع الألعاب؟ Genopets و Dustland Runner و STEPN وآخرون يتخذون خطوات لتحقيق ذلك.
Cointelegraph