CertiK 在 Kraken 发现了一系列严重漏洞,源自 Kraken 最近的用户体验(UX)变化。该变化会在客户资产结算前立即为客户账户记账,并允许客户实时交易加密货币市场,但 Kraken 暂未对这种特定攻击向量进行充分测试。漏洞允许恶意攻击者在未完全完成存款的情况下发起存款操作,并在其账户中收到资金。
Kraken 在对该漏洞进行检查后,将其评估为「关键」(Critical),并在47分钟内由专家团队缓解了问题。随后,Kraken 首席安全官 Nick Percoco 表示该问题已完全修复,并且将不会再次发生。
争议升级
Nick Percoco 指出,CertiK 在此次「安全检查」中套走了 Kraken 近300万美元,而 CertiK 则对此坚决否认。
Kraken 的事后调查发现,三个账户在几天内利用了这一漏洞,其中一个账户通过身份认证(KYC)关联到 CertiK 工作人员,并利用漏洞将其账户余额增加了4美元。按规定,退回这4美元即可向 Kraken 申请100至150万美元的赏金。然而,该「安全研究员」将漏洞透露给了另外两人,后者利用漏洞生成更大金额资金,最终从 Kraken 提取了近300万美元。
Kraken 向 CertiK 要求归还提取的资金,但 CertiK 拒绝,并要求与其 BD 团队通话。CertiK 表示在 Kraken 提供可能损失金额之前,不会归还任何资金。Nick Percoco 在推文中将 CertiK 的行为称为敲诈,并将此300万美元的损失视为「刑事案件」,目前正与执法部门协调追回资金。
CertiK 的回应
CertiK 在社交媒体上为自己的行为辩护,强调 Kraken 的深度防御系统在多个方面被破坏。CertiK 表示,由于漏洞让数百万美元可以被存入任何 Kraken 账户,Kraken 没有触发任何警报,直到 CertiK 的正式报告事件后才响应并锁定了测试账户。CertiK 声称 Kraken 威胁了公司员工,要求归还的资金总额与其所盗取的加密货币「不匹配」。
社区反应
加密社区迅速对此事件展开讨论。Cyvers.AI 的创始人 Meir Dolev 指出,在 Kraken 事件爆发26天前,Coinbase 和 Polygon 网络上也出现了使用相同签名哈希的类似提款活动,这加剧了对 CertiK 操守的质疑。CertiK 的安全性也受到质疑,Synthetix 的 Adam Cochran 表示 CertiK 行为背离了安全公司的职业操守。
CertiK 的背景
CertiK 诞生于2017年,曾是Web3安全领域的明星项目,获得了高盛、老虎、软银、红杉、高瓴等豪华资方的投资。然而,CertiK 一直面临争议,社区质疑其审计项目的安全性。CertiK 的创始人顾荣辉表示,不希望 CertiK 变成一个「章」或防盗的「证书」。尽管如此,CertiK 审计过的项目屡屡出现安全问题。
从拥有豪华融资阵容、估值20亿美元的明星项目,到陷入种种争议,CertiK 的经历为其他项目方提供了警示。此次与 Kraken 的对峙进一步引发了对 CertiK 操守和安全性的质疑,未来的发展将备受关注。
欢迎加入DC社区解锁更多消息:https://discord.gg/dAPnMa2aE4