| 最后版本 |
您的文本 |
| 第1行: |
第1行: |
| Kraken 首席安全官 Nick Percoco 在推特上披露<ref name=":0">https://x.com/c7five/status/1803403565865771370</ref>,在其漏洞赏金计划中收到了一份「极其严重」的漏洞报告,报告声称发现了一个可以人为增加账户余额的漏洞。CertiK 称其为对 Kraken 交易所的一次安全测试,而 Kraken 认为 CertiK 在中间利用漏洞获利。双方各执一词,争执不下<ref>https://foresightnews.pro/article/detail/62716</ref>。 | | Kraken 首席安全官 Nick Percoco 在推特上披露<ref name=":0">https://x.com/c7five/status/1803403565865771370</ref>,在其漏洞赏金计划中收到了一份「极其严重」的漏洞报告,报告声称发现了一个可以人为增加账户余额的漏洞。CertiK 称其为对 Kraken 交易所的一次安全测试,而 Kraken 认为 CertiK 在中间利用漏洞获利。双方各执一词,争执不下<ref>https://foresightnews.pro/article/detail/62716</ref>。 |
|
| |
| Certik 声称是在 6 月 5 日才发现并利用了 Kraken 的漏洞,但链上证据似乎表明,它可能早已掌握该漏洞并实施了多次类似行为。业内人士质疑 Certik 公布的时间线是否属实,它是否早已利用该漏洞长期转移资金。这一发现无疑加剧了对 Certik 操守的质疑<ref>[https://www.theblockbeats.info/news/53925 CertiK员工被指「敲诈Kraken」,昔日安全独角兽只剩「谤满天下」? - BlockBeats (theblockbeats.info)]</ref>。
| |
|
| |
| 据披露,CertiK 的安全审计师不仅通过 Tornado Cash 转移资产,还通过 ChangeNOW 抛售资产,与 Lazarus 黑客组织入侵加密协议后的常见做法如出一辙。有分析人士表示,Lazarus 入侵的 Certik 审计协议比其他任何协议都多,这引发了外界对 Certik 内部是否早已遭黑客渗透的质疑。
| |
|
| |
|
| = 事件过程 = | | = 事件过程 = |
| 第11行: |
第7行: |
|
| |
|
| * 一位安全研究人员向 Kraken 漏洞赏金计划提交报告,声称发现了一个关键漏洞,可以人为增加账户余额。 | | * 一位安全研究人员向 Kraken 漏洞赏金计划提交报告,声称发现了一个关键漏洞,可以人为增加账户余额。 |
| * Kraken 收到报告后,立即组建团队调查。将其评估为「关键」(Critical),随后发现并修复了漏洞,耗时约 1 小时。 | | * Kraken 收到报告后,立即组建团队调查。随后发现并修复了漏洞,耗时约 1 小时。 |
| * 调查发现,该漏洞允许攻击者在未完成存款的情况下发起存款操作并收到资金。该漏洞源于最近的用户体验 (UX) 更改,该更改未针对特定攻击向量进行充分测试。 | | * 调查发现,该漏洞允许攻击者在未完成存款的情况下发起存款操作并收到资金。该漏洞源于最近的用户体验 (UX) 更改,该更改未针对特定攻击向量进行充分测试。 |
|
| |
|
| 第43行: |
第39行: |
|
| |
|
| === 社区用户 === | | === 社区用户 === |
| | 链上侦探 @0xBoboShanti 称,一位Certik安全研究人员之前发布的一个地址早在5月27日就进行了探测和测试,这与Certik的事件时间表产生了矛盾。更进一步,该测试地址资金源于Certik的一个Tornado交易(Tornado tx),该钱包最近(直到今天)一直在与相同的合约进行交互,这一发现将这一事件与原始的安全研究人员联系了起来。<ref>https://x.com/0xBoboShanti/status/1803510866287165467</ref> |
|
| |
|
| * 链上侦探 @0xBoboShanti 称,一位Certik安全研究人员之前发布的一个地址早在5月27日就进行了探测和测试,这与Certik的事件时间表产生了矛盾。更进一步,该测试地址资金源于Certik的一个Tornado交易(Tornado tx),该钱包最近(直到今天)一直在与相同的合约进行交互,这一发现将这一事件与原始的安全研究人员联系了起来。<ref>https://x.com/0xBoboShanti/status/1803510866287165467</ref>
| | 安全研究员 @tayvano 进一步指出,该交易的Certik报告揭示了Kraken的存款地址<code>0xa172342297f6e6d6e7fe5df752cbde0aa655e61c</code>(MATIC)。在以太坊网络上,这个相同的地址被用于进行提款操作,具体的提款地址包括:<code>0x3c6a231b1ffe2ac29ad9c7e392c8302955a97bb3</code>、<code>0xdc6af6b6fd88075d55ff3c4f2984630c0ea776bc</code>和<code>0xc603d23fcb3c1a7d1f27861aa5091ffa56d3a599</code>。这些提款地址提取大量资金后抛售USDT并使用ChangeNOW进行多次最大值交换。<ref>https://x.com/tayvano_/status/1803670051133989114</ref> |
|
| |
|
| * 安全研究员 @tayvano 进一步指出,该交易的Certik报告揭示了Kraken的存款地址<code>0xa172342297f6e6d6e7fe5df752cbde0aa655e61c</code>(MATIC)。在以太坊网络上,这个相同的地址被用于进行提款操作,具体的提款地址包括:<code>0x3c6a231b1ffe2ac29ad9c7e392c8302955a97bb3</code>、<code>0xdc6af6b6fd88075d55ff3c4f2984630c0ea776bc</code>和<code>0xc603d23fcb3c1a7d1f27861aa5091ffa56d3a599</code>。这些提款地址提取大量资金后抛售USDT并使用ChangeNOW进行多次最大值交换。<ref>https://x.com/tayvano_/status/1803670051133989114</ref>
| | @tayvano写道:“抛售USDT并使用ChangeNOW并不能坐实该地址为黑客,但利用CEX系统中未披露的漏洞为自己谋取经济利益才是黑客。在漏洞被披露之前进行抛售和即时交易只是给这个疯狂的局势增添了更多的混乱。如果官方声明的是Certik泄露了安全通信,或者这是外部人士利用相同的漏洞,我会相信的。这甚至可能解释了Certik最初的声明,即Kraken要求退还的资金超过了他们提走的资金。”<ref>https://x.com/tayvano_/status/1803576961966678073</ref> |
| * @tayvano写道:“抛售USDT并使用ChangeNOW并不能坐实该地址为黑客,但利用CEX系统中未披露的漏洞为自己谋取经济利益才是黑客。在漏洞被披露之前进行抛售和即时交易只是给这个疯狂的局势增添了更多的混乱。如果官方声明的是Certik泄露了安全通信,或者这是外部人士利用相同的漏洞,我会相信的。这甚至可能解释了Certik最初的声明,即Kraken要求退还的资金超过了他们提走的资金。”<ref>https://x.com/tayvano_/status/1803576961966678073</ref>
| |
| * @tayvano 对 CertiK 表示嘲讽,CertiK 的行为绝对没有任何借口,根本无法被视为合法的白帽子测试,并呼吁 CertiK「滚出去」<ref>https://x.com/tayvano_/status/1803561633450697104</ref>。
| |
| * Cyvers.AI 的创始人 Meir Dolev 表示,据链上分析,在 Kraken 事件爆出 26 天前,就有相同的签名哈希对 Coinbase 进行了类似的提款活动。另外,14 天前 [[Polygon]] 网络上也出现了使用相同签名哈希的转账行为<ref>https://x.com/Meir_Dv/status/1803526308258787704</ref>。
| |
| * Synthetix 的 Adam Cochran 表示 ,CertiK 是彻头彻尾的罪犯,其行为已经完全背离了安全公司的职业操守。鉴于 CertiK 审计过的项目屡屡被黑客攻击,该公司为何还能存在至今?CertiK 安全审计师利用职务之便,通过受制裁的 Tornado Cash 等渠道转移和抛售资产,行为模式与黑客组织无恶不作组织 Lazarus 相似<ref>https://x.com/adamscochran/status/1803483232509501584</ref>。
| |
| * Puffer Finance 的 陈剑表示,有前员工透露,CertiK 高层过于重视盈利,价值观出现偏差。该公司曾发行代币后遭抛弃,令投资者蒙受损失。建议项目方谨慎选择 CertiK 进行安全审计。陈剑认为 CertiK 基本成为一家「用光环包装且收费昂贵的盖章公司」,它审计过的项目屡屡出现安全问题<ref>https://x.com/jason_chen998/status/1803608471797166384</ref>。
| |
| * DegenBing.eth | Buji DAO 表示,吹捧 CertiK 的人非蠢即坏,大家赶紧准备好爆米花,后续应该会很精彩<ref>https://x.com/DegenBing/status/1803611242613055563</ref>。
| |
| * @lilbagscientist 发推称, Certik 其实早在5月27日就进行测试了,却声称是从6月5日开始的<ref>https://x.com/lilbagscientist/status/1803503005381304680</ref>。
| |
| * 白帽@BoxMrChen 称对 CertiK 安全研究员的行为表示理解。@BoxMrChen 表示,漏洞赏金背后其实大有文章。有的项目方完全可以以「漏洞提交重复」为由拒绝向白帽黑客提供赏金,或者故意降低漏洞的风险等级,减少赏金的数量。此外,即使项目方慷慨的提供了数万美元的代币赏金,白帽黑客也要等流程审批,往往数个月过去了,代币都跌了 90% 了,赏金还在审批。@BoxMrChen 猜测,CertiK 安全研究员此举只是想等 Kraken 风控发现然后与之谈判。只是 5 天时间里,Kraken 好像没有任何反应,才开始提交漏洞报告。@BoxMrChen 总结称,CertiK 做的确实具有争议,但所谓的清高和正义,在这个圈子里又值得多少,比起这些,我更希望是知道 Kraken 愿意支付 CertiK 多少白帽赏金,看看到底是 CertiK 贪贪婪狡诈,还是 Kraken 一毛不拔<ref>https://x.com/BoxMrChen/status/1803667234063339929</ref>。
| |
|
| |
|
| = 参考链接 = | | = 参考链接 = |
