CertiK最近发现北海巨妖交易所存在一系列严重漏洞,可能导致数亿美元的潜在损失。该事件源于北海巨妖存款系统无法区分不同的内部转账状态。CertiK随后进行了全面的调查,并提出了三个关键问题:。
恶意行为者能否伪造一笔存款交易到Kraken账户? 恶意行为者能否提取伪造的资金? 在大额提款请求时,会触发哪些风险控制和资产保护措施?测试结果显示,北海巨妖交易所未能通过所有这些测试,表明其纵深防御体系受到了多方面的威胁。在测试期间,数百万美元的伪造加密货币可以存入任何北海巨妖账户,从中提取并转换为有效的加密货币。更糟糕的是,测试过程中没有触发警报。几天后,北海巨妖回复并锁定了测试账户。
披露细节
在Certik通知北海巨妖之后,其安全团队将该问题归类为“严重”,即最严重的级别。然而,在漏洞被初步修复后,北海巨妖的安全运营团队威胁个别CertiK员工在不合理的时间内偿还不匹配的加密货币,并且没有提供还款地址。
为了让社区了解事件的全貌,CertiK提供了事件时间表和测试存款交易的详细信息:
活动时间表
测试存款交易明细
CertiK指出:
白帽行动的事实:数百万美元的加密货币是凭空铸造,研究活动中未涉及任何真正的Kraken用户资产。 严重的安全问题:测试期间,生成并提现的伪造代币直到CertiK报告前未被发现,显示出缺乏有效的风险控制和预防机制。 真正的问题:为何Kraken的纵深防御系统未能检测到如此多的测试交易,连续大额提现是CertiK测试系统极限的一部分。结论
为了社区透明和对Web3安全的承诺,CertiK将此活动公开,旨在保护所有用户的安全。CertiK敦促北海巨妖停止威胁白帽黑客,并呼吁合作,共同应对风险,维护Web3的未来。