在本文中,我们讨论一个令人难以置信的故事:几天前,审计公司 Certik 发现加密货币交易所 Kraken 的安全系统存在一个漏洞,可能导致严重的黑客攻击。
在进行了三天的测试并执行了价值 300 万美元的“白帽黑客”攻击后,Certik 联系了 Kraken 并告知了该漏洞,但最初拒绝立即退还被盗金额。
该加密货币交易所立即联系了执法部门,将该情况视为刑事案件,而该加密安全公司则坚称这是“赏金计划”的典型测试。现在资金似乎已经退还。
下面让我们详细了解一下。
这个故事开始于 2024 年 6 月 9 日,当时加密货币交易所 Kraken 收到一位“安全研究人员”的非正式通信,该研究人员声称发现了该平台上的一个漏洞,可能导致大规模黑客攻击。
Kraken 首席安全官 Nick Percoco 在事后推文中指出,研究人员指出存款安全系统存在漏洞(无法区分内部转账的不同状态),这允许用户虚增余额并提取比实际可用金额更多的代币。交易所立即采取行动解决该问题,仅用 47 分钟,专家团队就成功修复了该漏洞。
Percoco 的报告如下:
“该漏洞允许恶意攻击者在适当的情况下在我们的平台上发起存款,并在未完全完成存款的情况下将资金存入他们的账户。需要明确的是,客户资产从未受到任何风险”
到目前为止一切正常,只是联系 Kraken 的研究人员所在的同一家安全公司web3在正式报告该漏洞之前,曾对该平台进行过多次黑客攻击,总计损失了 300 万美元。
Percoco 的帖子发布后,知名审计公司 Certik 立即承担了此事的责任,并透露其在此事中扮演的关键角色。
据称,Certik 通过进行大规模攻击来“测试”Kraken 的防御机制,并从 3 个不同的账户中提取大量MATIC代币,然后通过 Tornado Cash 混合器清除资金痕迹。
该交易所的安全经理解释称,在解决问题后, Kraken 要求 Certik 退还资金,但遭到了拒绝。
尽管如此,Certik 坚称其活动符合“白帽黑客”的原则。
尽管在与 Kraken 沟通之前的 3 天内进行了提款测试,但 Certik 显然并未提及这 3 个账户攻击者在该事件中所扮演的角色。
发现该漏洞的安全研究人员本来要求获得一大笔赏金,因为他发现了一个可能导致严重黑客攻击的重大缺陷,但 Kraken 坚持要退还他们的资金。
由于审计公司拒绝归还赃款,而且似乎确实隐藏了黑客攻击的证据,该交易所决定将此情况视为刑事案件,并通知主管部门和执法部门。
这家 web3 安全公司曾要求交易所支付相当于该漏洞未披露时可能造成的损失的赏金,这让交易所平台团队非常愤怒。
Percoco 在他的 X 个人资料上评论了所发生的事情,表达了他对 Certik 行为的强烈反对:
“这不是白帽黑客,这是敲诈勒索”。
Certik在介绍自己是负责发现存款系统缺陷的公司后,立即否认了 Kraken 的报道,并强调了其“白帽黑客”角色及其积极意图。
该公司透露,它已经设置了一次大规模的黑客攻击,金额达 300 万美元,仅仅是为了测试交易所的防御能力,但它也强调,它从未拒绝归还战利品,而是希望确保一切都正确执行。
Certik 表示,她对这个漏洞可能造成的潜在负面影响感到惊讶,尤其是 Kraken 的警报从未被触发这一事实。她在一篇帖子中表示:
“数百万美元可以存入任何 Kraken 账户。大量加密货币(价值超过 100 万美元)可以从账户中提取并转换为有效加密货币。更糟糕的是,在多日测试期间,没有触发任何警报”。
此外,审计公司解释说,交易所团队的一名成员曾威胁他们自己的研究人员,要求他们在不合理的时间内(6 小时)退还款项,但没有提供还款地址。
此次黑客攻击发生几天后,两家公司进行了通话,试图找到解决方案并解决此问题。
显然,引发混乱的原因是 Kraken 提出的赏金数额,这与所做的努力和阻止的潜在漏洞不相称。正如 Kraken 发言人向 Coindesk 报道的那样:
“我们真诚地让这些研究人员参与进来,并根据管理漏洞赏金计划的十年经验,为他们的努力提供了相当可观的赏金。我们对这次经历感到失望,目前正在与执法部门合作,从这些安全研究人员那里追回资产”。
今天,Certik 发布了另一篇文章,其中包含一些常见问题解答,以进一步澄清他们的立场并消除任何疑问。
该安全公司重申,它“始终”确认将归还被盗金额,并表示现在所有资金都回到了 Kraken 的手中。
这些资金以 734.19215 ETH、29,001 USDT 和 1021.1 XMR 的形式退还给发送者,而交易所明确要求发送 155818.4468 MATIC、907400.1803 USDT、475.5557871 ETH 和 1089.794737 XMR,总等值价值约高出 100,000 美元。
Kraken 坚持“白帽黑客”的道德观念,并坚持认为 Certik 实施的欺凌行为可认定为敲诈勒索行为。
交易所的赏金计划确实要求第三方发现问题,利用测试漏洞所需的最少金额(无需执行 300 万美元的黑客攻击),返还资源,并提供有关漏洞的详细信息。