起源

Kraken首席安全官Nick Percoco在推特上披露，他们的漏洞赏金计划中收到了“极其严重”的漏洞报告，报告称发现了一个可以人为增加账户余额的漏洞。CertiK称这是对Kraken交易所的一次安全测试，而Kraken认为CertiK在中间利用漏洞获利。双方各执一词，争执不下，形成了一场值得关注的争议^[1]。

事件过程

2024 年 6 月 9 日，加密货币交易所 Kraken收到了一位安全研究员通过漏洞赏金计划发来的警报。起初没有具体信息，但他们声称发现了一个「极其严重」的漏洞，可以让他们在Kraken的平台上人为地增加余额。

Kraken由于经常都会收到类似报告，但对于CertiK提出的漏洞报告也表示重视并很快对该问题进行了修复，修复后对该问题进行了调查，发现其中一个账户通过身份认证（KYC）关联到一位自称为安全研究员的个人，这个人在Kraken的资金系统中发现了这个漏洞，并利用它将其账户余额增加了 4 美元。这足以证明漏洞的存在，向Kraken的团队提交漏洞赏金报告，并根据Kraken的计划条款获得相当可观的奖励。并将这个漏洞透露给了与他合作的另外两个人，从中获利近300万美元。因此Kraken认为这不是白帽黑客行为，而是敲诈。

CertiK 回应