Kraken ve CertiK Zero-Day Davası, 3 Milyon Dolar


Blockchain ve Kripto Para Birimi, Yeni Nesil Teknolojiler ve Güvenli Geliştirme

Ayrıca: UwU Lend’in Hack’leri, Terraform Labs’ın Çözülmesi, Gemini’s Settlement

Rashmi Ramesh (raşmiramesh_) •
20 Haziran 2024

Cryptohack Özeti: Kraken ve CertiK Zero-Day Davası, 3 Milyon Dolar
Resim: Shutterstock

Bilgi Güvenliği Medya Grubu her hafta dijital varlıklardaki siber güvenlik olaylarını topluyor. Bu hafta, CertiK araştırmacılarının Kraken’den para çaldığı, UwU Lend’in hacklendiği, Terraform Labs’in kapatıldığı, Gemini’nin dolandırılan yatırımcılara ödeme yapacağı, üç kuruluşun FTX varlıklarına el konulduğunu iddia ettiği, bir Çin bankasının zimmete para geçirme ve kara para aklamaya maruz kaldığı ve SEC’in kripto para başkanının ayrıldığı iddia edildi .

Ayrıca bakınız: İsteğe Bağlı | NSM-8 Son Tarihi Temmuz 2022: Kuantuma Dirençli Algoritma Uygulama Anahtarları

Kraken ve CertiK, Sıfır Gün ve 3 Milyon Dolarlık Hırsızlık Konusunda Anlaşmazlık İçinde

Kripto borsası, araştırmacıların kimliklerini belirtmeden, güvenlik araştırmacılarının Kraken’deki sıfır gün güvenlik açığından yararlanarak 3 milyon doları çaldığını ve ardından fonları iade etmeyi reddettiğini söyledi. CertiK kendisini söz konusu güvenlik şirketi olarak tanımladı ve Kraken’i çalışanlarını tehdit etmekle suçladı.

Kraken Baş Güvenlik Sorumlusu Nicholas Percoco, borsanın 9 Haziran’da herkesin Kraken cüzdanındaki bakiyeleri yapay olarak artırmasına izin veren kritik bir güvenlik açığı hakkında belirsiz bir hata raporu aldığını tweetledi. Kraken’in güvenlik ekibi, para yatırma işlemi başarısız olsa bile saldırganların para yatırma işlemini başlatmasına ve para almasına olanak tanıyan bir kusur tespit etti. Percoco, hiçbir müşteri varlığının risk altında olmadığını ancak saldırganların Kraken hesaplarında geçici olarak varlık oluşturabileceğini açıkladı. Ekip, kullanıcıların temizlenmeden önce para yatırmasına ve kullanmasına izin veren yakın zamanda yapılan bir kullanıcı arayüzü değişikliğinin sonucu olan kusuru düzeltti.

Kraken daha sonra üç kullanıcının bu hatayı kullanarak borsanın hazinesinden 3 milyon dolar çaldığını keşfetti. Araştırmacı olduğunu iddia eden biri, güvenlik açığını göstermek için ilk önce bu hatayı kullanarak kendi hesabına 4 dolar yatırdı. Daha sonra araştırmacının ortaklarından ikisi 3 milyon dolar çekti.

Kripto firması, araştırmacıların kriptoyu iade etmeyi veya hata hakkında Kraken ile daha fazla bilgi paylaşmayı reddettiğini söyledi. Percoco, bunun yerine, bir bilgisayar korsanının bu güvenlik açığından yararlanması durumunda hasarın ne olabileceğine dayalı olarak bulguları için spekülatif bir ödeme talep ettiklerini söyledi. Eylemlerinin etik hackleme değil gasp olduğunu söyledi. Kraken olayı kolluk kuvvetlerine bildirdi ve olayı bir ceza davası olarak ele alıyor.

CertiK, güvenlik açığını belirleyip düzelttikten sonra Kraken’in güvenlik operasyon ekibinin çalışanlarını “geri ödeme adresleri sağlamadan bile uyumsuz miktardaki kripto parayı makul olmayan bir sürede geri ödemekle” tehdit ettiğini söyledi.

UwU Lend İki Kez Hacklendi

Bilgisayar korsanları UwU Lend protokolünü istismar etti iki kere bu ay toplam 23,7 milyon dolar çaldı. Zincir üstü veri analizi platformu Cyvers, her iki saldırının da aynı bilgisayar korsanı tarafından gerçekleştirildiğini söyledi. 10 Haziran’daki ilk hack’te fiyat manipülasyonu saldırısı nedeniyle yaklaşık 20 milyon dolar çalındı ​​ve üç gün sonraki ikinci hack’te ise 3,7 milyon dolar kaybedildi. En son ihlal, UwU Lend’in ilk saldırının kurbanları için geri ödeme sürecine başladığı sırada meydana geldi.

Protokol, ilk saldırıya yol açan güvenlik açığını çözdüğünü söyledi ve Wrapped Ether olarak 1,7 milyon doların üzerinde geri ödeme yapılacağını ve toplam 9,7 milyon doların üzerinde geri ödeme yapılacağını duyurdu.

Kripto güvenlik şirketi CertiK, CoinTelegraph’a ikinci istismarın ilkinin sonucu olduğunu söyledi. Saldırgan ilk saldırıdan itibaren tokenları elinde tuttu ve şirket protokolü duraklatsa da çalınan tokenı hala meşru teminat olarak kabul etti. CertiK’in bildirdiğine göre bu gözetim, saldırganın kalan tokenlardan yararlanmasına ve ek fonları tüketmesine olanak tanıdı.

UwU Lend, saldırganı teşhis edip yerini tespit edebilen herkese 5 milyon dolar ödül teklif ediyor.

Terraform Laboratuvarları Operasyonları Sona Erdirecek

CEO Chris Amani, Terraform Labs’ın faaliyetlerini sonlandıracağını ve Terra ekosistemindeki projelerini satacağını duyurdu. Karar, Terraform’un ABD Menkul Kıymetler ve Borsa Komisyonu ile UST algoritmik stablecoin’inin 2022’deki çöküşünden kaynaklanan 4,47 milyar dolarlık anlaşmasını takip ediyor.

Temmuz 2023’te Do Kwon’un yerine CEO olarak gelen Amani, Terraform Labs’in “her zaman bir noktada dağılma niyetinde olduğunu ve o noktanın şu an olduğunu” tweetledi. Firma, Terraform’un yerel kripto para birimi olan hak edilmemiş tüm Luna tokenlerini cüzdanlarından yakmayı planlıyor. Amani, birisinin blok zincirlerin mülkiyetini alması durumunda Terra ve Terra Classic blok zincirlerinin topluluk kontrolü altında devam edebileceğini söyledi.

SEC, Terraform ve kurucu ortak Kwon’u Şubat 2023’te yatırımcıları yanıltmak ve kayıtsız menkul kıymetler satarak federal menkul kıymetler yasalarını ihlal etmekle suçladı. Anlaşma, 3,58 milyar dolarlık tazminatı, 420 milyon dolarlık hukuki cezayı ve Kwon’un herhangi bir kamu şirketinde memur veya yönetici olarak görev yapmasının yasaklanmasını içeriyor. Kwon’un, plandan zarar gören yatırımcıların tazmin edilmesi için iflas masasına yaklaşık 204 milyon dolar katkıda bulunması gerekiyor.

Terraform Labs, Ocak ayında Delaware’de Bölüm 11 iflas başvurusunda bulundu.

Gemini Dolandırılan Yatırımcılara 50 Milyon Dolar Ödeyecek

Kripto borsası Gemini, New York başsavcısı ile yapılan anlaşmanın bir parçası olarak Gemini Earn yatırımcılarına 50 milyon dolar dijital varlık ödeyecek. Ofis, Gemini’nin binlerce yatırımcıyı, müşterilerin kriptolarını şu anda iflas etmiş olan Genesis Global Capital’e ödünç vererek yıllık %7,4’e kadar getiri elde etmelerine izin verdiğini iddia eden Gemini Earn programıyla ilgili riskler konusunda yanılttığını söyledi.

James, Gemini’nin Earn programını güvenli bir yatırım fırsatı olarak yanlış bir şekilde pazarladığını ve sonunda yatırımcıları hesaplarından kilitlediğini söyledi. Anlaşmanın dolandırılan tüm yatırımcıların tamamen iyileşmesini sağlaması ve Earn programına yatırdıkları varlıkları geri almalarına yardımcı olması bekleniyor.

Gemini’nin New York eyaletinde herhangi bir kripto kredi programı yürütmesi yasaklandı.

Gemini geçen ay Earn kullanıcılarının kripto paralarının 2,18 milyar dolarını geri alacağını, yani bir bitcoin ödünç veren müşterilerin bir bitcoin geri alacağını açıklamıştı. Gemini’nin açıklamasına göre Nihai Kazanç dağıtımları yedi gün içinde müşterilerin hesaplarında mevcut olacak.

3 Kuruluş Ele Geçirilen FTX Varlıklarını İddia Ediyor

Üç ayrı grup, eski FTX CEO’su Sam Bankman-Fried’in cezai mahkumiyetinin ardından ele geçirilen varlıklara ilişkin iddialarda bulundu.

CEO John Ray III liderliğindeki FTX borçlularının mülkü, hükümet savcıları tarafından el konulan altı varlık kategorisi için dava açtı. Bunlar arasında Alameda Research ve FTX Digital Markets ile bağlantılı bankalardaki fonlar, iki özel jet, Bankman-Fried ve eski FTX CFO’su Luk Wai Chan’a ait Silvergate Bank’taki fonlar, Bankman-Fried ve diğer FTX yöneticileri tarafından yapılan siyasi katkılar ve gelirler yer alıyor. Emergent Fidelity Technology Ltd.’nin elindeki Robinhood hisselerinin satışı

FTX borçlularının mülkü, bu varlıkların suç faaliyetleri yoluyla elde edildiğinden ve borçlu varlıklar tarafından finanse edildiğinden hiçbir zaman Bankman-Fried’a ait olmadığını savundu. Bu varlıkların geri alınmasının Bölüm 11 iflas işlemlerine ve FTX Digital’in Bahamalar’daki tasfiyesine katılan tüm alacaklılara ve paydaşlara fayda sağlayacağını söylediler.

Diğer iki davacı da varlıklardan pay almak için başvuruda bulundu.

Antigua’nın mahkeme tarafından atanan tasfiye memurları ve FTX alacaklılarını temsil eden avukatlar, ABD’nin Florida Güney Bölgesi Bölge Mahkemesinde açılan toplu davada iddialara itiraz etti. Emergent’ten 20 milyon doları nakit ve Robinhood hisselerinden elde edilen gelirler de dahil olmak üzere 625 milyon dolar istiyorlar. Emergent’in %90 hissesi nedeniyle Bankman-Fried tarafından yönetilen Robinhood hisselerini satın almasının FTX veya Alameda’daki herhangi bir yanlışlıktan bağımsız olduğunu savundular. Ayrıca Bankman-Fried’ın Emergent’in varlıklarına el koyma girişimlerine karşı savunma yaparken ortaya çıkan mesleki masrafları geri alma haklarına sahip olduklarını da söylediler.

Sunil Kavuri başkanlığındaki FTX’in en büyük alacaklı grubunu temsil eden avukatlar tarafından yürütülen eş zamanlı toplu dava, Robinhood hisseleri de dahil olmak üzere kaybedilen varlıkların müşterilere geri verilmesi gerektiğini savunuyor ve borçluların malvarlığında çıkar çatışmaları bulunduğunu iddia ediyor. Avukatlar, bu varlıkların FTX müşterilerindeki dolandırıcılıktan elde edildiğini ve ayni olarak dağıtılması gerektiğini iddia ediyor.

FTX borçlularının mülkü, iflas mahkemesinin, federal yasalara uymak için hükümetle birlikte çalışarak mağdurların telafisini en üst düzeye çıkarmak ve maliyetleri en aza indirmek için iddiasını kabul etmesi gerektiğinde ısrar ediyor. Her başvuruda bir duruşma talep ediliyor ancak zamanlaması belirsizliğini koruyor.

Çin Bankasında 248 Milyon Dolarlık Plan

Çin finans haber kaynağı The National Business Daily’nin haberine göre, yerel bir Çin bankası, iki eski yönetici ve fonları aklamak için kripto para birimini kullanan eski bir hissedarın dahil olduğu 1,8 milyar yuan veya 248 milyon dolarlık bir zimmete para geçirme planını ortaya çıkardı.

Haber kaynağı, Chen soyadlı 44 yaşındaki şüphelinin, Kuzeydoğu Çin’deki ticari bir banka olan Bank of Huludao’nun eski yöneticilerine, banka hesapları aracılığıyla en az 250 milyon yuan veya 34,4 milyon doların aklanması konusunda yardım ettiğini söyledi.

Ağustos 2020’de, Huludao Bankası’nın eski parti sekreteri Li Yulin ve eski başkan vekili Li Xiaodong, diğer iki şüpheliyle birlikte, sorunlu varlıkları manipüle ederek 2,6 milyar yuanı zimmete geçirdiği iddia edildi. Haber kaynağının bildirdiğine göre, ertesi ay, bu şüpheliler yasa dışı olarak 1,8 milyar yuan’dan fazla parayı dövize çevirdiler ve fonları Hong Kong’daki kendi kontrolleri altındaki şirket banka hesaplarına aktardılar.

Eylül ve Ekim 2020’de bu kişiler, Longmen Inn adlı biri de dahil olmak üzere WeChat grupları aracılığıyla kripto para birimleri satın aldı ve ardından kripto para birimlerini yurt dışına satmak için diğer satıcıları kullandı. Gelirler ABD dolarına çevrildi ve Hong Kong şirketlerinin sahip olduğu banka hesaplarına gönderildi.

Chen kara para aklamaktan suçlu bulundu, iki yıl üç ay hapis cezasına ve 2 milyon yuan para cezasına çarptırıldı. Diğer yöneticilerin suiistimal iddialarına ilişkin davalar ayrı davalarda ele alındı.

SEC Kripto Başkanı İstifa Etti

ABD Menkul Kıymetler ve Borsa Komisyonu’nun Kripto Varlıklar ve Siber Birimi’nin Uygulama Bölümü başkanı David Hirsch, yaklaşık dokuz yıl sonra kurumdan ayrıldı. Ayrılışını LinkedIn üzerinden açıklayan Hirsch, gelecek planlarını açıklamadı ancak ara verdikten sonra daha fazla ayrıntı paylaşacağını söyledi. Hirsch, SEC’e katılmadan önce NYU Siber Güvenlik Merkezi’nde hukuki danışma kurulu üyesi olarak görev yapıyordu.





Source link