安全公司变“黑客”,还原 Kraken 对垒 CertiK 事件起因经过
本文作者:TechFlow 深潮@TechFlowPost。发文时间:2024年6月20日
6月20日,今日的焦点话题属于加密货币交易所 Kraken VS 区块链安全公司 CertiK ,一场加密舆论纷争正在上演,CertiK在X上被众多行业知名人士和KOL怒斥为敲诈勒索的黑客,究竟发生了什么?
一直以来,美国加密交易所Kraken 设立有漏洞赏金计划,奖励提供安全漏洞信息的人。
Kraken 首席安全官@c7five在X上表示,此前一位安全研究员通过漏洞赏金计划向公司报告了一个严重的安全漏洞。
这个漏洞允许恶意攻击者在未完成存款的情况下,在他们的Kraken账户中生成资产。在得知信息后,Kraken团队立即对漏洞进行了修复。
但是事后复盘发现,不对,来者不善。
这个提交报告的安全研究员,将其账户余额增加了4美元,同时,这位安全研究员与另外两人分享了这个漏洞,导致他们从Kraken账户中提取了接近300万美元。
Kraken 于是尝试与安全研究员合作归还这些资金,但遭到拒绝,而是要求Kraken与他们公司的 BD 团队(销售代表)沟通,在Kraken 提供一个假设的可能损失金额之前,不同意归还任何资金。这不是白帽黑客行为,而是敲诈!
Kraken 安全团队火气攻心,他们认为这些行为不是白帽黑客,而是敲诈,并且决定将这件事视为刑事案件,并与执法机构协调处理。
而这家拒不归还资金的公司,你猜是谁?
没错,本文的另一个主角——安全公司@CertiK。
CertiK 对该指控进行了回应,大意就是:
CertiK在Kraken交易所中发现了严重的安全漏洞,可能导致数亿美元的损失。他们通过测试,发现了三个主要问题,更严重的是,在多天的测试期间,并未触发任何警报。
在修复漏洞后,Kraken的安全运营团队却威胁CertiK员工要在不合理的时间内偿还不匹配数量的加密货币,甚至没有提供偿还地址。
CertiK 并添加了事件的时间线,显示最早从6月5日发现这个问题。
随着事件曝光,更多信息被挖掘出来。
1/
@0xBoboShanti发现, Certik 安全研究员在推特上发布的一个地址早在 5 月 27 日就在进行探测和测试,这已经与 Certik 的事件时间表相矛盾了。
另外,Coinbase 执行董事@jconorgrogan发现 Certik 将资产与专门用于清洗资产的混币器Tornado进行交互,在Certik评论区表示,你们知道 Tornadocash 受到 OFAC (外国资产控制办公室)制裁了吧?而且你们的注册地在美国,对吧?
2/
打开该事件在X的相关讨论,骂声一片,纷纷质疑CertiK从安全机构变成了敲诈勒索的黑客。
有着21万粉丝的加密KOLAdam Cochran 表示,“Certik 刚刚承认自己是从 Kraken 窃取数据的安全公司,并试图向他们勒索更多钱财。考虑到 Certik 审计经常遭到黑客攻击,而现在又出现这种状况。但 Certik 仍然存在,这真是太不可思议了。简直就是罪犯。”
3/
评论区一个吃瓜群众@cryptopsychdoc则给予了一个有意思的比喻:
Certik 就像你抓到的那个出轨的女朋友:当你找她对质,她会把问题抛给你,并质问你为什么要翻她的手机。
4/
Paradigm CTO@samczsun则转发Certik此前的融资新闻戏谑道,“向投资伙伴们致以我的祝福,他们必须解释为什么他们的投资组合公司会入侵美国交易所,窃取 300 万美元,并通过 ofac 封杀的协议进行洗钱”。
根据此前的新闻,2022年4月,CertiK宣布完成8800万美元B3轮融资,该轮融资由Insight Partners、Tiger Global、Advent International联合领投,高盛、红杉资本、Lightspeed等新老股东跟投。CertiK在过去9个月内已完成四轮融资,总融资额2.3亿美元,估值20亿美元。
5/
我们试图寻找来自Certik 更多直接的回应,比如:什么时候归还资产?为什么不归还资产?如果数额不相符,实际应该是多少资产?为什么会与Tornadocash 交互?
但是我们看到的最新回应是,Certik反复强调,“真正的问题应该是 Kraken 的深度防御系统为何未能检测到如此多的测试交易。从不同的测试账户连续进行大额提款是我们测试的一部分。”
似乎是一种嘲讽——只因你太菜!
6/
纵观整个事件经过,当自诩为白帽的安全公司变成“黑客”,Web3 这个野蛮世界里的黑白,似乎不再那么泾渭分明。
而更加讽刺的地方在于,Certik 这个名字本身,来源于英文中的“ Certification”(认证)。当“认证者”本身需要被道德认证,草台班子的观感更加明显了。
Don’t Trust, Just Verify。
最新进展:
CertiK 发布推文,针对近期与 Kraken 的纠纷进行了问答,解释了多个关键问题,包括资金返还、漏洞披露以及测试目的等。
其表示:
无用户资金损失:所有加密货币均为测试过程中凭空产生,未涉及任何真实 Kraken 用户的资产。
资金返还情况:CertiK 确认已返还所有持有的资金,但总金额与 Kraken 要求不一致。返还金额包括 734.19215 ETH、29,001 USDT 和 1021.1 XMR,而 Kraken 请求返还的金额为 155818.4468 MATIC、907400.1803 USDT、475.5557871 ETH 和 1089.794737 XMR。
测试目的:CertiK 进行了多次大规模测试,以测试 Kraken 的保护和风险控制极限。尽管进行了多天的测试,价值近三百万的加密货币交易未触发任何警报。
漏洞披露:CertiK 向 Kraken 详细披露了漏洞细节,并在 47 分钟内得到了修复。
及时沟通:测试结束后,CertiK 通过多种方式及时通知了 Kraken 并发送了详细报告。
赏金计划:CertiK 未参与 Kraken 的赏金计划,也未提及任何赏金请求,重点在于确保问题得到解决。
https://x.com/CertiK/status/1803646511110365426