美国当地时间 6 月 19 日,加密货币交易所 Kraken 和区块链安全公司 CertiK 在社交媒体上就一系列严重的安全漏洞问题发生了公开对峙。
事件源于 Kraken 上一个被 CertiK 发现的漏洞:Kraken 首席安全官 Nick Percoco 在推特上披露,在其漏洞赏金计划中收到了一份「极其严重」的漏洞报告,报告声称发现了一个可以人为增加账户余额的漏洞。CertiK 称其为对 Kraken 交易所的一次安全测试,而 Kraken 认为 CertiK 在中间利用漏洞获利。
根据CertiK 的调查显示,Kraken 的存款系统无法有效区分不同的内部转账状态,存在恶意行为者伪造存款交易并提取伪造资金的风险。在测试期间,数百万美元的虚假资金可以被存入 Kraken 账户,并提取超过 100 万美元的伪造加密货币转化为有效资产,且 Kraken 系统未触发任何警报。
CertiK 通知 Kraken 后,Kraken 将漏洞分类为“严重”,并初步修复了问题。
但 CertiK 指出,Kraken 安全团队随后威胁 CertiK 员工,要求在不合理的时间内偿还不匹配的加密货币,并未提供还款地址。
Kraken 首席安全官:此前漏洞而被提取的资金已退还
Kraken Exchange 首席安全官 Nick Percoco 在社交平台发文更新信息称,现在可以确认,由于此前漏洞而被提取的资金已被退还(除去少量费用损失)。
CertiK 在 X 平台公布一系列针对 CertiK-Kraken 白帽事件的问答,CertiK 表示没有真正的 Kraken 用户的资产直接参与研究活动。在与 Kraken 的沟通中(通过电子邮件和视频会议),CertiK 始终向他们保证将退还资金。目前持有的所有资金都已归还,但总金额与 Kraken 的要求不同。CertiK 根据自己的记录进行退还。
CertiK 向 Kraken 详细披露了漏洞细节,并在 47 分钟内得到了修复。测试结束后,CertiK 通过多种方式及时通知了 Kraken 并发送了详细报告。CertiK 未参与 Kraken 的赏金计划,也未提及任何赏金请求,重点在于确保问题得到解决。
此外,CertiK 披露了全部的时间线和存款地址。
Kraken首席战略官Nick Percoco表示,该交易平台将近期近 300 万美元的损失视为“刑事案件”,正与执法部门协调追回资金。
Nick Percoco称,这些未透露姓名的研究人员通过在存款完成之前提取已存入其账户的资金,从 Kraken 窃取了数百万美元的加密货币。
针对Kraken和CertiK之间的安全漏洞报告争议,链上侦探@0xBoboShanti称,一位Certik安全研究人员之前发布的一个地址早在5月27日就进行了探测和测试,这与Certik的事件时间表产生了矛盾。
更进一步,该测试地址资金源于Certik的一个Tornado交易,该钱包最近一直在与相同的合约进行交互,这一发现将这一事件与原始的安全研究人员联系了起来。
安全研究员进一步指出,该交易的Certik报告揭示了Kraken的存款地址0xa172342297f6e6d6e7fe5df752cbde0aa655e61c(MATIC)。在以太坊网络上,这个相同的地址被用于进行提款操作,具体的提款地址包括:0x3c6a231b1ffe2ac29ad9c7e392c8302955a97bb3、0xdc6af6b6fd88075d55ff3c4f2984630c0ea776bc和0xc603d23fcb3c1a7d1f27861aa5091ffa56d3a599。
这些提款地址提取大量资金后抛售UDDT并使用ChangeNOW进行多次最大值交换。
疑似这个在 Base 上部署的合约( 0x45…CeA9)也在对 OKX 和 Coinbase 做过相同的测试,以确定这两个交易所是否有 Kraken 相同的漏洞。
从背景信息上来看,Kraken 的漏洞赏金计划的奖励数额确实可观,类似于本次事件的最高安全事件级别的赏金在 100-150 万美元之间,这与 Kraken 声称的三百万美元数额差额不小。
这也导致大众对于此事件有所争议,有些人在评论区称“我看黑客就不应该还“,另一些人则回复“你是想拿着一百万的赏金还是拿着三百万的非法所得去蹲大牢?”
此次的争议事件也是披露出白帽黑客行业中隐藏风险,当本该保护客户免受漏洞攻击的安全公司反过头来主动攻击客户,客户的安全保障形同虚设,这无疑是加密货币行业所需要重视的一大问题。
白帽黑客的行为必须合法合规,保持合适的尺度,才能避免法律和道德上的争议。
Vào ngày 19 tháng 6, theo giờ địa phương ở Hoa Kỳ, một cuộc đối đầu công khai đã nổ ra trên mạng xã hội giữa sàn giao dịch tiền điện tử Kraken và công ty bảo mật blockchain CertiK về một loạt lỗ hổng bảo mật nghiêm trọng.
WenJunVào ngày 19 tháng 6, Giám đốc An ninh Kraken Nick Percoco tuyên bố rằng một nhân viên của một công ty bảo mật đã sử dụng lỗ hổng nền tảng để rút hơn 3 triệu đô la tài sản kỹ thuật số và hành vi này đã được phân loại là một vụ tống tiền hình sự.
JinseFinanceCertiK gần đây đã phát hiện ra một loạt lỗ hổng nghiêm trọng trên sàn giao dịch Kraken có khả năng gây thiệt hại hàng trăm triệu đô la.
JinseFinanceJinseFinanceSự tăng trưởng ổn định của thị trường tiền điện tử kể từ đầu năm 2023 đã được kiểm tra bằng các khoản lỗ rõ rệt trong tuần này.
decryptBloomberg báo cáo rằng cuộc điều tra đang ở "giai đoạn nâng cao" và "có thể dẫn đến một vụ dàn xếp trong những ngày tới."
BeincryptoĐể đối phó với thị trường tiền điện tử nghèo nàn, Kraken đã chọn ngừng hoạt động tại Nhật Bản lần thứ hai.
CryptoknowmicsJesse Powell, Giám đốc điều hành Kraken, nói chi tiết hơn về lý do tại sao ông quyết định đóng cửa trụ sở chính của Kraken tại San Francisco. ...
BitcoinistJesse Powell nói rằng bắt đầu từ năm 2022, sàn giao dịch sẽ mở rộng thành một thị trường cho các mã thông báo không thể thay thế và các khoản vay được hỗ trợ bởi NFT.
CointelegraphKraken trước đây đã đặt mục tiêu triển khai Mạng Lightning của Bitcoin vào năm 2021 sau khi chính thức công bố kế hoạch vào cuối năm 2020.
Cointelegraph