Een bug die door Kraken werd opgelost, werd vorige maand al gebruikt om andere crypto exchanges te exploiteren, zo melden verschillende crypto-beveiligingsexperts.

Dit brengt ons bij het nieuwste hoofdstuk van het verhaal tussen twee grote namen in de cryptowereld: de Amerikaanse exchange Kraken en beveiligingsbedrijf CertiK.

De Bug en de Exploit

Afgelopen woensdag maakte Kraken bekend dat het een “kritieke” bug had verholpen. Deze bug zorgde ervoor dat miljoenen dollars aan crypto onterecht konden worden opgenomen. CertiK, die achter de exploit zat, haalde in juni $3 miljoen van Kraken af.

Na een publieke discussie gaf CertiK alle fondsen terug en verklaarde dat ze handelden als white-hat hackers. Dit betekent dat ze beveiligingslekken wilden vinden en oplossen in plaats van ze te misbruiken.

Meer dan Alleen Kraken

Onchain-gegevens, ontdekt door beveiligingsplatform Hexagate en bevestigd door andere onderzoekers, tonen aan dat dezelfde bug al op 17 mei werd gebruikt om andere exchanges zoals Binance, OKX, BingX en Gate.io te misleiden.

Deze aanvallen vonden plaats drie weken voordat CertiK de bug bij Kraken ontdekte op 5 juni. Hexagate meldde op X dat ze geen bewijs hebben dat deze exchanges daadwerkelijk werden getroffen, maar dat er wel onchain-activiteiten waren die hierop wijzen.

De Revert-aanval

De gegevens laten zien dat een hacker een “revert” aanval gebruikte. Hierbij wordt een smart contract gemaakt dat een transactie bevat om geld te storten op een gecentraliseerde exchange. Het contract is zo ontworpen dat de hoofdtransactie slaagt, maar de storting wordt teruggedraaid. Hierdoor denkt de exchange dat er geld is gestort terwijl dat niet het geval is. De hacker vraagt dan een opname aan van dit nep-stortingsbedrag.

Meerdere pogingen werden geregistreerd op Binance op 17 mei. Tussen 29 mei en 5 juni werden soortgelijke pogingen gedaan op OKX, BingX en Gate.io.

Betrokkenheid van CertiK

Hoewel CertiK de revert-aanval als eerste openbaar maakte, is er geen bewijs dat zij betrokken waren bij de eerdere aanvallen. Elke smart contract functie heeft een unieke signature hash. Voor de revert-aanval is deze signature hash niet beschikbaar, wat betekent dat de functie naam niet openbaar bekend is. Dit suggereert dat de naam alleen bekend is bij CertiK of iemand anders die dezelfde naam heeft gebruikt.

Crypto.nl streeft ernaar om de meest actuele en nauwkeurige informatie te bieden aan haar lezers. Blijf op de hoogte voor meer updates en inzichten in de wereld van cryptocurrency!