安全机构CertiK披露Kraken交易所严重漏洞引发两方争议事件:修订间差异
小 (JackMa移动页面被CertiK 发现的Kraken严重安全漏洞事件至安全机构CertiK披露Kraken交易所严重漏洞引发两方争议事件) |
无编辑摘要 |
||
| 第1行: | 第1行: | ||
= | Kraken 首席安全官 Nick Percoco 在推特上披露<ref name=":0">https://x.com/c7five/status/1803403565865771370</ref>,在其漏洞赏金计划中收到了一份「极其严重」的漏洞报告,报告声称发现了一个可以人为增加账户余额的漏洞。CertiK 称其为对 Kraken 交易所的一次安全测试,而 Kraken 认为 CertiK 在中间利用漏洞获利。双方各执一词,争执不下<ref>https://foresightnews.pro/article/detail/62716</ref>。 | ||
= 事件过程 = | = 事件过程 = | ||
事件过程根据 Kraken 首席安全官 Nick Percoco 的披露整理<ref name=":0" />。 | |||
'''2024 年 6 月 9 日''' | |||
= CertiK | * 一位安全研究人员向 Kraken 漏洞赏金计划提交报告,声称发现了一个关键漏洞,可以人为增加账户余额。 | ||
* Kraken 收到报告后,立即组建团队调查。随后发现并修复了漏洞,耗时约 1 小时。 | |||
* 调查发现,该漏洞允许攻击者在未完成存款的情况下发起存款操作并收到资金。该漏洞源于最近的用户体验 (UX) 更改,该更改未针对特定攻击向量进行充分测试。 | |||
* Kraken 发现,三个账户利用了该漏洞,其中一个账户关联到提交漏洞报告的安全研究人员。 | |||
* 该研究人员利用漏洞为自己账户增加了 4 美元,然后提交漏洞报告并获得了赏金。 | |||
* 该研究人员随后将漏洞透露给其他人,他们利用漏洞提取了近 300 万美元。 | |||
'''2024 年 6 月 10 日''' | |||
* Kraken 联系安全研究人员,要求他们提供活动详细信息并归还提取的资金。 | |||
* 安全研究人员拒绝归还资金,并要求与 Kraken 的销售代表通话。 | |||
* Kraken 认为安全研究人员的行为构成敲诈,并决定将事件告知执法部门。 | |||
'''2024 年 6 月 19 日''' | |||
* Kraken 首席安全官 Nick Percoco 在推特上发布声明,详细描述了事件经过并指责安全研究人员敲诈。 | |||
* CertiK 在其官方博客上发布声明,回应 Kraken 的指控。CertiK 否认敲诈指控,并声称他们对漏洞进行了彻底的测试并及时通知了 Kraken<ref name=":1">https://x.com/CertiK/status/1803450205389402215</ref>。 | |||
* CertiK 还发布了事件的时间线和存款地址<ref>https://x.com/CertiK/status/1803455720668471448</ref>。 | |||
= 各方反应 = | |||
=== Kraken交易所 === | |||
* Kraken 首席安全官 Nick Percoco 表示,该交易平台将近期近 300 万美元的损失视为「刑事案件」,正与执法部门协调追回资金。其表示,「CertiK 白帽黑客」通过在存款完成之前提取已存入账户的资金,从 Kraken 窃取了数百万美元的加密货币。<ref>https://x.com/c7five/status/1803403642013360171</ref> | |||
=== 安全机构CertiK === | |||
* 安全机构 CertiK 发推回应称,其团队在 Kraken 交易所发现了一系列严重漏洞,这些漏洞可能导致数亿美元的潜在损失。但上报漏洞后遭到 Kraken 的安全运营团队「威胁」,要求 CertiK 的个别员工在不合理的时间内偿还不匹配的加密货币数量,甚至没有提供还款地址。<ref name=":1" /> | |||
* 安全公司 CertiK 表示,其持有的所有资金都已归还,但总金额与 Kraken 要求的金额不同,且研究活动并未直接涉及任何真正的 Kraken 用户的资产。事件开启原因是由于「想测试 Kraken 的保护和风险控制的极限,经过多天的多次测试以及价值近 300 万的加密货币,却并未触发任何警报,我们仍然没有找到限制。」<ref>https://x.com/CertiK/status/1803646511110365426/history</ref> | |||
* 我们退还了:734.19215 ETH、29,001 USDT、1021.1 XMR,而 Kraken 要求退还 155818.4468 MATIC、907400.1803 USDT、475.5557871 ETH、1089.794737 XMR。 | |||
=== 社区用户 === | |||
链上侦探 @0xBoboShanti 称,一位Certik安全研究人员之前发布的一个地址早在5月27日就进行了探测和测试,这与Certik的事件时间表产生了矛盾。更进一步,该测试地址资金源于Certik的一个Tornado交易(Tornado tx),该钱包最近(直到今天)一直在与相同的合约进行交互,这一发现将这一事件与原始的安全研究人员联系了起来。<ref>https://x.com/0xBoboShanti/status/1803510866287165467</ref> | |||
安全研究员 @tayvano 进一步指出,该交易的Certik报告揭示了Kraken的存款地址<code>0xa172342297f6e6d6e7fe5df752cbde0aa655e61c</code>(MATIC)。在以太坊网络上,这个相同的地址被用于进行提款操作,具体的提款地址包括:<code>0x3c6a231b1ffe2ac29ad9c7e392c8302955a97bb3</code>、<code>0xdc6af6b6fd88075d55ff3c4f2984630c0ea776bc</code>和<code>0xc603d23fcb3c1a7d1f27861aa5091ffa56d3a599</code>。这些提款地址提取大量资金后抛售USDT并使用ChangeNOW进行多次最大值交换。<ref>https://x.com/tayvano_/status/1803670051133989114</ref> | |||
@tayvano写道:“抛售USDT并使用ChangeNOW并不能坐实该地址为黑客,但利用CEX系统中未披露的漏洞为自己谋取经济利益才是黑客。在漏洞被披露之前进行抛售和即时交易只是给这个疯狂的局势增添了更多的混乱。如果官方声明的是Certik泄露了安全通信,或者这是外部人士利用相同的漏洞,我会相信的。这甚至可能解释了Certik最初的声明,即Kraken要求退还的资金超过了他们提走的资金。”<ref>https://x.com/tayvano_/status/1803576961966678073</ref> | |||
= 参考链接 = | = 参考链接 = | ||
2024年6月20日 (四) 14:36的版本
Kraken 首席安全官 Nick Percoco 在推特上披露[1],在其漏洞赏金计划中收到了一份「极其严重」的漏洞报告,报告声称发现了一个可以人为增加账户余额的漏洞。CertiK 称其为对 Kraken 交易所的一次安全测试,而 Kraken 认为 CertiK 在中间利用漏洞获利。双方各执一词,争执不下[2]。
事件过程
事件过程根据 Kraken 首席安全官 Nick Percoco 的披露整理[1]。
2024 年 6 月 9 日
- 一位安全研究人员向 Kraken 漏洞赏金计划提交报告,声称发现了一个关键漏洞,可以人为增加账户余额。
- Kraken 收到报告后,立即组建团队调查。随后发现并修复了漏洞,耗时约 1 小时。
- 调查发现,该漏洞允许攻击者在未完成存款的情况下发起存款操作并收到资金。该漏洞源于最近的用户体验 (UX) 更改,该更改未针对特定攻击向量进行充分测试。
- Kraken 发现,三个账户利用了该漏洞,其中一个账户关联到提交漏洞报告的安全研究人员。
- 该研究人员利用漏洞为自己账户增加了 4 美元,然后提交漏洞报告并获得了赏金。
- 该研究人员随后将漏洞透露给其他人,他们利用漏洞提取了近 300 万美元。
2024 年 6 月 10 日
- Kraken 联系安全研究人员,要求他们提供活动详细信息并归还提取的资金。
- 安全研究人员拒绝归还资金,并要求与 Kraken 的销售代表通话。
- Kraken 认为安全研究人员的行为构成敲诈,并决定将事件告知执法部门。
2024 年 6 月 19 日
- Kraken 首席安全官 Nick Percoco 在推特上发布声明,详细描述了事件经过并指责安全研究人员敲诈。
- CertiK 在其官方博客上发布声明,回应 Kraken 的指控。CertiK 否认敲诈指控,并声称他们对漏洞进行了彻底的测试并及时通知了 Kraken[3]。
- CertiK 还发布了事件的时间线和存款地址[4]。
各方反应
Kraken交易所
- Kraken 首席安全官 Nick Percoco 表示,该交易平台将近期近 300 万美元的损失视为「刑事案件」,正与执法部门协调追回资金。其表示,「CertiK 白帽黑客」通过在存款完成之前提取已存入账户的资金,从 Kraken 窃取了数百万美元的加密货币。[5]
安全机构CertiK
- 安全机构 CertiK 发推回应称,其团队在 Kraken 交易所发现了一系列严重漏洞,这些漏洞可能导致数亿美元的潜在损失。但上报漏洞后遭到 Kraken 的安全运营团队「威胁」,要求 CertiK 的个别员工在不合理的时间内偿还不匹配的加密货币数量,甚至没有提供还款地址。[3]
- 安全公司 CertiK 表示,其持有的所有资金都已归还,但总金额与 Kraken 要求的金额不同,且研究活动并未直接涉及任何真正的 Kraken 用户的资产。事件开启原因是由于「想测试 Kraken 的保护和风险控制的极限,经过多天的多次测试以及价值近 300 万的加密货币,却并未触发任何警报,我们仍然没有找到限制。」[6]
- 我们退还了:734.19215 ETH、29,001 USDT、1021.1 XMR,而 Kraken 要求退还 155818.4468 MATIC、907400.1803 USDT、475.5557871 ETH、1089.794737 XMR。
社区用户
链上侦探 @0xBoboShanti 称,一位Certik安全研究人员之前发布的一个地址早在5月27日就进行了探测和测试,这与Certik的事件时间表产生了矛盾。更进一步,该测试地址资金源于Certik的一个Tornado交易(Tornado tx),该钱包最近(直到今天)一直在与相同的合约进行交互,这一发现将这一事件与原始的安全研究人员联系了起来。[7]
安全研究员 @tayvano 进一步指出,该交易的Certik报告揭示了Kraken的存款地址0xa172342297f6e6d6e7fe5df752cbde0aa655e61c(MATIC)。在以太坊网络上,这个相同的地址被用于进行提款操作,具体的提款地址包括:0x3c6a231b1ffe2ac29ad9c7e392c8302955a97bb3、0xdc6af6b6fd88075d55ff3c4f2984630c0ea776bc和0xc603d23fcb3c1a7d1f27861aa5091ffa56d3a599。这些提款地址提取大量资金后抛售USDT并使用ChangeNOW进行多次最大值交换。[8]
@tayvano写道:“抛售USDT并使用ChangeNOW并不能坐实该地址为黑客,但利用CEX系统中未披露的漏洞为自己谋取经济利益才是黑客。在漏洞被披露之前进行抛售和即时交易只是给这个疯狂的局势增添了更多的混乱。如果官方声明的是Certik泄露了安全通信,或者这是外部人士利用相同的漏洞,我会相信的。这甚至可能解释了Certik最初的声明,即Kraken要求退还的资金超过了他们提走的资金。”[9]
参考链接
- ↑ 1.0 1.1 https://x.com/c7five/status/1803403565865771370
- ↑ https://foresightnews.pro/article/detail/62716
- ↑ 3.0 3.1 https://x.com/CertiK/status/1803450205389402215
- ↑ https://x.com/CertiK/status/1803455720668471448
- ↑ https://x.com/c7five/status/1803403642013360171
- ↑ https://x.com/CertiK/status/1803646511110365426/history
- ↑ https://x.com/0xBoboShanti/status/1803510866287165467
- ↑ https://x.com/tayvano_/status/1803670051133989114
- ↑ https://x.com/tayvano_/status/1803576961966678073