「白帽黑客」還是「敲詐勒索」:Kraken 與 CertiK 對峙上了

2024-06-22 00:06:17

撰文:Yangz,Techub News

昨日晚間,Kraken 首席安全官 Nick Percoco 發文披露,Kraken 團隊於 6 月 9 日收到漏洞賞金報告,稱發現了一個「極其嚴重」的漏洞,允許攻擊者在未完成存款的情況下人為增加账戶余額。雖然 Kraken 團隊在數小時時內修復了漏洞,但在深入調查的過程中發現該漏洞被三個账戶利用。其中一個账戶的 KYC 信息自稱為「安全研究員」,並利用漏洞為其账戶存入了 4 美元的 加密貨幣 ,然後提交了漏洞賞金報告。但更為關鍵的是,該「研究員」又將漏洞透露給了與他們共事的另外兩個人,導致 Kranken 財庫近 300 萬美元資金被提走。

Percoco 表示,由於最初的報告並沒有完全披露漏洞細節,因此團隊與上述账戶進行了聯系,計劃按照一般漏洞賞金流程安排資金退還,並獎勵其「白帽行為」。但出乎意料的是,「安全研究員」要求與 Kraken 業務开發團隊通話,稱除非按照該漏洞可能造成的損失金額進行獎賞,否則不會退還任何資金。

就這樣,「白帽黑客」瞬間成了「敲詐勒索」,Percoco 也決定不披露「這家研究公司」的名頭並將此事視為刑事案件,計劃與執法機構進行協調處理。

本以為事情到這就暫告一段落了,但令人意外的是,安全公司 CertiK 在 Percoco 發文 3 個小時後自動站了出來,稱是其發現了 Kraken 中的安全漏洞,且該漏洞可能會導致數億美元的損失。

CertiK 表示 ,通過測試,其發現了 Kraken 的三個主要問題,且在為期數日的測試期間,均未觸發任何 Kraken 警報。CertiK 表示,其在正式報告漏洞後,Kraken 幾日才做出回應。而且,在漏洞修復後,Kraken 安全運營團隊還威脅 CertiK 個別員工在不合理的時間內償還不匹配數量的 加密貨幣 ,甚至連償還地址都未提供。

一時間,對峙雙方各執一詞,Kraken 將 CertiK 的行為視為「犯罪」,而 CertiK 則要求 Kraken「停止對白帽黑客的任何威脅」。

對於此事,CT 上議論紛紛,但風評基本偏向於指責 CertiK。尤其是 CertiK 為何要進行持續數日的測試再向 Kraken 報告漏洞令人疑惑。面對該質疑,CertiK 的回應是「真正的問題應該是 Kraken 的深度防御系統為何未能檢測到如此多的測試交易。」

而隨着事件發展,更多細節被網友們扒出。 @lilbagscientist 發推稱, Certik 其實早在 5 月 27 日就進行測試了。而據安全公司 Cyvers 首席技術官 Meir Dolev 觀察,CertiK 「曾對 OKX 和 Coinbase 做過類似測試,以確定這兩個交易所是否有 Kraken 相同的漏洞」。此外,Certik 相關地址在此期間還向 Tornado 與 ChangeNOW 發送了數筆資產,不免讓人疑惑。 Coinbase 產品主管 Conor Grogan 在 CertiK 評論區寫道,「你們知道 Tornado Cash 受到 OFAC 制裁吧?而且你們的注冊地是在美國,對吧?」

另外,作為行業內公認的頂級白帽黑客,Paradigm 研究合夥人 Samczsun 轉發了 Certik 此前的融資新聞(2022 年 4 月,CertiK 完成 8800 萬美元融資,Insight Partners、Tiger Global 和 Advent International 領投,參投方包括高盛、 紅杉和 Lightspeed Venture 等)調侃道,「我向那些必須解釋為什么其投資的公司黑進了一家美國交易所,盜取了 300 萬美元,並通過 OFAC 封殺的協議進行洗錢的投資合夥人致以哀思和祈禱。」

與鋪天蓋地的指責聲相比,反觀為 CertiK 發聲的確實不多,但有些看法值得我們思考。 @trading_axe 在 CertiK 的評論區回復道,「如果你想盜竊資產,為什么要滿足於 300 萬美元?你應該拿走一切,然後逃命......只黑 300 萬,然後被迫歸還,只會顯得很傻。」的確,如果 CertiK 只為這 300 萬美元實施「盜竊」未免太過愚蠢。

而 @BoxMrChen 則以其白帽的自身經歷,稱對 CertiK 安全研究員的行為表示理解。@BoxMrChen 表示,漏洞賞金背後其實大有文章。有的項目方完全可以以「漏洞提交重復」為由拒絕向白帽黑客提供賞金,或者故意降低漏洞的風險等級,減少賞金的數量。此外,即使項目方慷慨的提供了數萬美元的代幣賞金,白帽黑客也要等流程審批,往往數個月過去了,代幣都跌了 90% 了,賞金還在審批。@BoxMrChen 猜測,CertiK 安全研究員此舉只是想等 Kraken 風控發現然後與之談判。只是 5 天時間裏,Kraken 好像沒有任何反應,才开始提交漏洞報告。

@BoxMrChen 總結稱,「CertiK 做的確實具有爭議,但所謂的清高和正義,在這個圈子裏又值得多少,比起這些,我更希望是知道 Kraken 愿意支付 CertiK 多少白帽賞金,看看到底是 CertiK 貪貪婪狡詐,還是 Kraken 一毛不拔。」

目前,CertiK 發布 公告 稱,已退還所有資金,且此次事件不涉及真實用戶資金損失。 CertiK 表示,其之所以進行多次大規模測試是因為想測試 Kraken 的保護和風險控制的極限。但經過多天、近三百萬加密貨幣的多次測試後,仍未觸發任何警報。此外,CertiK 稱並未參與 Kraken 的懸賞計劃,只是通過推特、linkedin 聯系了 Kraken 官方和 CSO Nick,最後通過電子郵件發送了詳細報告。而且,「團隊也從未提過任何懸賞要求。」

至此,本次事件暫告一個段落,只是將部分資產轉入 Tornado 與 ChangeNOW 一事,CertiK 並未回應。而對於 CertiK 已歸還的資產,Kraken 也暫未致評。

究竟是誰撒了謊?只有 CertiK 和 Kraken 自己知道。目前所有信息都只是猜測,後續會不會有實錘,比如聊天記錄,也不得而知。就目前 CertiK 已歸還資金的情況,也許,這事兒最後會以所謂的「和解」不了了之。

鄭重聲明:本文版權歸原作者所有,轉載文章僅為傳播信息之目的,不構成任何投資建議,如有侵權行為,請第一時間聯絡我們修改或刪除,多謝。

推薦文章

OKX Ventures投資雙月報:多領域穩定趨好,對市場前景保持樂觀

美 國經濟增長依然表現出韌性,但其高利率環境繼續對經濟產生影響,不少國家和地區則面臨經濟停滯或輕度...

OKX Ventures
6 6小時前

FTX索賠投票教學》如何登入?有哪些選項?8/16截止前該注意什麼?

F TX 交易所正在就破產重組計畫尋求 FTX 客戶和債權人的投票,FTX 索賠入口網站 已新增...

Natalia Wu
6 6小時前

FTX和解CFTC!40億美元索賠排在「客戶和債權人」之後

F TX 債權人團體代表 Sunil Kavur 今(13)日稍早在 X 平臺上表示,FTX 已與...

Natalia Wu
6 6小時前

加密市場情緒研究報告(2024.07.05–07.12):CPI走低主流幣價格衝高回落

CPI 數據走低主流幣價格衝高回落 年內降息預期大幅升溫, 9 月首次降息的可能性回升至 80%...

星球日報
6 6小時前

YBB Capital:區塊鏈的GPU,ZK協處理器全面解析

原文作者: YBB Capital Researcher Zeke TLDR ZK 協處理器(ZK...

星球日報
6 6小時前

德國政府終於賣完比特幣!錢包餘額歸零、總拋5萬枚BTC、入袋33億鎂

德 國政府相關錢包自 6 月 19 日開始,將多筆大額比特幣頻繁轉移至 Coinbase、Krak...

Natalia Wu
6 14小時前