Kraken 首席安全官 Nick Percoco 在推特上披露^[1]，在其漏洞赏金计划中收到了一份「极其严重」的漏洞报告，报告声称发现了一个可以人为增加账户余额的漏洞。CertiK 称其为对 Kraken 交易所的一次安全测试，而 Kraken 认为 CertiK 在中间利用漏洞获利。双方各执一词，争执不下^[2]。

Certik 声称是在 6 月 5 日才发现并利用了 Kraken 的漏洞，但链上证据似乎表明，它可能早已掌握该漏洞并实施了多次类似行为。业内人士质疑 Certik 公布的时间线是否属实，它是否早已利用该漏洞长期转移资金。这一发现无疑加剧了对 Certik 操守的质疑^[3]。

据披露，CertiK 的安全审计师不仅通过 Tornado Cash 转移资产，还通过 ChangeNOW 抛售资产，与 Lazarus 黑客组织入侵加密协议后的常见做法如出一辙。有分析人士表示，Lazarus 入侵的 Certik 审计协议比其他任何协议都多，这引发了外界对 Certik 内部是否早已遭黑客渗透的质疑。

事件过程[编辑 | 编辑源代码]

事件过程根据 Kraken 首席安全官 Nick Percoco 的披露整理^[1]。

2024 年 6 月 9 日

• 一位安全研究人员向 Kraken 漏洞赏金计划提交报告，声称发现了一个关键漏洞，可以人为增加账户余额。
• Kraken 收到报告后，立即组建团队调查。将其评估为「关键」（Critical），随后发现并修复了漏洞，耗时约 1 小时。
• 调查发现，该漏洞允许攻击者在未完成存款的情况下发起存款操作并收到资金。该漏洞源于最近的用户体验 (UX) 更改，该更改未针对特定攻击向量进行充分测试。

• Kraken 发现，三个账户利用了该漏洞，其中一个账户关联到提交漏洞报告的安全研究人员。
• 该研究人员利用漏洞为自己账户增加了 4 美元，然后提交漏洞报告并获得了赏金。
• 该研究人员随后将漏洞透露给其他人，他们利用漏洞提取了近 300 万美元。

2024 年 6 月 10 日

• Kraken 联系安全研究人员，要求他们提供活动详细信息并归还提取的资金。
• 安全研究人员拒绝归还资金，并要求与 Kraken 的销售代表通话。
• Kraken 认为安全研究人员的行为构成敲诈，并决定将事件告知执法部门。

2024 年 6 月 19 日

• Kraken 首席安全官 Nick Percoco 在推特上发布声明，详细描述了事件经过并指责安全研究人员敲诈。
• CertiK 在其官方博客上发布声明，回应 Kraken 的指控。CertiK 否认敲诈指控，并声称他们对漏洞进行了彻底的测试并及时通知了 Kraken^[4]。
• CertiK 还发布了事件的时间线和存款地址^[5]。

各方反应[编辑 | 编辑源代码]

Kraken交易所[编辑 | 编辑源代码]

• Kraken 首席安全官 Nick Percoco 表示，该交易平台将近期近 300 万美元的损失视为「刑事案件」，正与执法部门协调追回资金。其表示，「CertiK 白帽黑客」通过在存款完成之前提取已存入账户的资金，从 Kraken 窃取了数百万美元的加密货币。^[6]

安全机构CertiK[编辑 | 编辑源代码]

• 安全机构 CertiK 发推回应称，其团队在 Kraken 交易所发现了一系列严重漏洞，这些漏洞可能导致数亿美元的潜在损失。但上报漏洞后遭到 Kraken 的安全运营团队「威胁」，要求 CertiK 的个别员工在不合理的时间内偿还不匹配的加密货币数量，甚至没有提供还款地址。^[4]
• 安全公司 CertiK 表示，其持有的所有资金都已归还，但总金额与 Kraken 要求的金额不同，且研究活动并未直接涉及任何真正的 Kraken 用户的资产。事件开启原因是由于「想测试 Kraken 的保护和风险控制的极限，经过多天的多次测试以及价值近 300 万的加密货币，却并未触发任何警报，我们仍然没有找到限制。」^[7]
• 我们退还了：734.19215 ETH、29,001 USDT、1021.1 XMR，而 Kraken 要求退还 155818.4468 MATIC、907400.1803 USDT、475.5557871 ETH、1089.794737 XMR。

社区用户[编辑 | 编辑源代码]

• 链上侦探 @0xBoboShanti 称，一位Certik安全研究人员之前发布的一个地址早在5月27日就进行了探测和测试，这与Certik的事件时间表产生了矛盾。更进一步，该测试地址资金源于Certik的一个Tornado交易（Tornado tx），该钱包最近（直到今天）一直在与相同的合约进行交互，这一发现将这一事件与原始的安全研究人员联系了起来。^[8]

• 安全研究员 @tayvano 进一步指出，该交易的Certik报告揭示了Kraken的存款地址0xa172342297f6e6d6e7fe5df752cbde0aa655e61c（MATIC）。在以太坊网络上，这个相同的地址被用于进行提款操作，具体的提款地址包括：0x3c6a231b1ffe2ac29ad9c7e392c8302955a97bb3、0xdc6af6b6fd88075d55ff3c4f2984630c0ea776bc和0xc603d23fcb3c1a7d1f27861aa5091ffa56d3a599。这些提款地址提取大量资金后抛售USDT并使用ChangeNOW进行多次最大值交换。^[9]
• @tayvano写道：“抛售USDT并使用ChangeNOW并不能坐实该地址为黑客，但利用CEX系统中未披露的漏洞为自己谋取经济利益才是黑客。在漏洞被披露之前进行抛售和即时交易只是给这个疯狂的局势增添了更多的混乱。如果官方声明的是Certik泄露了安全通信，或者这是外部人士利用相同的漏洞，我会相信的。这甚至可能解释了Certik最初的声明，即Kraken要求退还的资金超过了他们提走的资金。”^[10]
• @tayvano 对 CertiK 表示嘲讽，CertiK 的行为绝对没有任何借口，根本无法被视为合法的白帽子测试，并呼吁 CertiK「滚出去」^[11]。
• Cyvers.AI 的创始人 Meir Dolev 表示，据链上分析，在 Kraken 事件爆出 26 天前，就有相同的签名哈希对 Coinbase 进行了类似的提款活动。另外，14 天前 Polygon 网络上也出现了使用相同签名哈希的转账行为^[12]。
• Synthetix 的 Adam Cochran 表示 ，CertiK 是彻头彻尾的罪犯，其行为已经完全背离了安全公司的职业操守。鉴于 CertiK 审计过的项目屡屡被黑客攻击，该公司为何还能存在至今？CertiK 安全审计师利用职务之便，通过受制裁的 Tornado Cash 等渠道转移和抛售资产，行为模式与黑客组织无恶不作组织 Lazarus 相似^[13]。
• Puffer Finance 的 陈剑表示，有前员工透露，CertiK 高层过于重视盈利，价值观出现偏差。该公司曾发行代币后遭抛弃，令投资者蒙受损失。建议项目方谨慎选择 CertiK 进行安全审计。陈剑认为 CertiK 基本成为一家「用光环包装且收费昂贵的盖章公司」，它审计过的项目屡屡出现安全问题^[14]。
• DegenBing.eth | Buji DAO 表示，吹捧 CertiK 的人非蠢即坏，大家赶紧准备好爆米花，后续应该会很精彩^[15]。
• @lilbagscientist 发推称， Certik 其实早在5月27日就进行测试了，却声称是从6月5日开始的^[16]。
• 白帽@BoxMrChen 称对 CertiK 安全研究员的行为表示理解。@BoxMrChen 表示，漏洞赏金背后其实大有文章。有的项目方完全可以以「漏洞提交重复」为由拒绝向白帽黑客提供赏金，或者故意降低漏洞的风险等级，减少赏金的数量。此外，即使项目方慷慨的提供了数万美元的代币赏金，白帽黑客也要等流程审批，往往数个月过去了，代币都跌了 90% 了，赏金还在审批。@BoxMrChen 猜测，CertiK 安全研究员此举只是想等 Kraken 风控发现然后与之谈判。只是 5 天时间里，Kraken 好像没有任何反应，才开始提交漏洞报告。@BoxMrChen 总结称，CertiK 做的确实具有争议，但所谓的清高和正义，在这个圈子里又值得多少，比起这些，我更希望是知道 Kraken 愿意支付 CertiK 多少白帽赏金，看看到底是 CertiK 贪贪婪狡诈，还是 Kraken 一毛不拔^[17]。

参考链接[编辑 | 编辑源代码]