CertiK：向Kraken报告安全漏洞后员工却遭到其安全运营团队的威胁

来源：CertiK中文社区

CertiK近期在Kraken交易所发现了一系列的严重漏洞，这些漏洞可能潜在地导致数亿美元的损失。

事件概述

从发现 Kraken交易所 存款系统可能无法区分不同的内部转账状态开始，CertiK进行了全面的调查，并提出了三个关键问题：

1. 恶意行为者能否伪造一笔存款交易到Kraken账户？

2. 恶意行为者能否提取伪造的资金？

3. 在大额提款请求时，会触发哪些风险控制和资产保护措施？

根据测试结果，Kraken交易所未通过所有这些测试，这表明Kraken的纵深防御系统在多个方面都受到了威胁；数百万美元可以存入任何Kraken账户。从账户中可以提取大量伪造的加密货币（价值超过100万美元），并将其转换为有效的加密货币。更糟糕的是，在为期数天的测试期间，没有触发任何警报。在我们正式报告事件几天后，Kraken才做出回应并锁定了测试账户。

发现后，CertiK通知了Kraken，其安全团队将其分类为“Critical”：这是Kraken最严重的分类级别。在初步成功识别和修复漏洞后，Kraken的安全运营团队却威胁个别CertiK员工，在不合理的时间内偿还金额不匹配的加密货币，甚至没有提供还款地址。

细节披露

为了社区可以更透明地了解事件全貌，CertiK提供了事件发生时间线以及测试存款交易明细：

• 事件发生时间

  

• 测试存款交易明细

  

  

其中，CertiK指出：

• 白帽行动的事实：数百万美金的加密货币是凭空铸造的，在研究活动中，没有真正的Kraken用户资产被涉及。

• 更严重的安全问题：在几天的时间里，许多伪造的代币被生成并提现为有效的加密货币，直到CertiK报告之前，没有任何风险控制或预防机制被触发。

• 真正的问题：为什么Kraken的纵深防御系统未能检测到如此多的测试交易。从不同的测试账户中连续大额提现，是CertiK测试系统极限的一部分。

结语

本着透明的精神和对Web3社区的承诺，CertiK选择公开此事以保护所有用户的安全。CertiK敦促 Kraken交易所停止对白帽黑客的任何威胁，携手合作，共同面对风险，保障Web3的未来。

郑重声明：本文版权归原作者所有，转载文章仅为传播信息之目的，不构成任何投资建议，如有侵权行为，请第一时间联络我们修改或删除，多谢。