首页 > 观点 > 正文
欧意交易所

欧意交易所

全球前三大交易所之一,新用户注册最高可得230USDT奖励,同时可拆数字盲盒,100%可以获得数字货币,最高价值60000元

点击注册 进入官网

来源:CertiK中文社区

CertiK近期在Kraken交易所发现了一系列的严重漏洞,这些漏洞可能潜在地导致数亿美元的损失。

事件概述

从发现 Kraken交易所 存款系统可能无法区分不同的内部转账状态开始,CertiK进行了全面的调查,并提出了三个关键问题:

  1. 恶意行为者能否伪造一笔存款交易到Kraken账户?

  2. 恶意行为者能否提取伪造的资金?

  3. 在大额提款请求时,会触发哪些风险控制和资产保护措施?

根据测试结果,Kraken交易所未通过所有这些测试,这表明Kraken的纵深防御系统在多个方面都受到了威胁;数百万美元可以存入任何Kraken账户。从账户中可以提取大量伪造的加密货币(价值超过100万美元),并将其转换为有效的加密货币。更糟糕的是,在为期数天的测试期间,没有触发任何警报。在我们正式报告事件几天后,Kraken才做出回应并锁定了测试账户。

发现后,CertiK通知了Kraken,其安全团队将其分类为“Critical”:这是Kraken最严重的分类级别。在初步成功识别和修复漏洞后,Kraken的安全运营团队却威胁个别CertiK员工,在不合理的时间内偿还金额不匹配的加密货币,甚至没有提供还款地址。

细节披露

为了社区可以更透明地了解事件全貌,CertiK提供了事件发生时间线以及测试存款交易明细:

  • 事件发生时间

    YocKM9ApfttqEpOzNK00eJIAz4mIRsOr09fMwa4i.png

  • 测试存款交易明细

    ts4F4V8L68HNmya5gmQ93ymsUK2USOBsib4qJ8Pf.png

    mUolqkhFdroCoPyJEB1GGZzWjXYWUhHn2k9WTjTQ.png

其中,CertiK指出:

  • 白帽行动的事实:数百万美金的加密货币是凭空铸造的,在研究活动中,没有真正的Kraken用户资产被涉及。

  • 更严重的安全问题:在几天的时间里,许多伪造的代币被生成并提现为有效的加密货币,直到CertiK报告之前,没有任何风险控制或预防机制被触发。

  • 真正的问题:为什么Kraken的纵深防御系统未能检测到如此多的测试交易。从不同的测试账户中连续大额提现,是CertiK测试系统极限的一部分。

结语

本着透明的精神和对Web3社区的承诺,CertiK选择公开此事以保护所有用户的安全。CertiK敦促 Kraken交易所停止对白帽黑客的任何威胁,携手合作,共同面对风险,保障Web3的未来。

白话区块链|同步全球区块链资讯、区块链快讯、区块链新闻
本站所有文章数据来源:金色财经
本站不对内容真实性负责,如需转载请联系原作者
如需删除该文章,请发送本文链接至oem1012@qq.com

更多交易所入口

一站式注册各大交易所、点击进入加密世界、永不失联,币安Binance/欧易OKX/GATE.IO芝麻开门/Bitget/抹茶MEXC/火币Huobi

点击进入 永不失联
picture loss