撰文:Yangz,Techub News
昨日晚间,Kraken 首席安全官 Nick Percoco 发文披露,Kraken 团队于 6 月 9 日收到漏洞赏金报告,称发现了一个「极其严重」的漏洞,允许攻击者在未完成存款的情况下人为增加账户余额。虽然 Kraken 团队在数小时时内修复了漏洞,但在深入调查的过程中发现该漏洞被三个账户利用。其中一个账户的 KYC 信息自称为「安全研究员」,并利用漏洞为其账户存入了 4 美元的 加密货币 ,然后提交了漏洞赏金报告。但更为关键的是,该「研究员」又将漏洞透露给了与他们共事的另外两个人,导致 Kranken 财库近 300 万美元资金被提走。
Percoco 表示,由于最初的报告并没有完全披露漏洞细节,因此团队与上述账户进行了联系,计划按照一般漏洞赏金流程安排资金退还,并奖励其「白帽行为」。但出乎意料的是,「安全研究员」要求与 Kraken 业务开发团队通话,称除非按照该漏洞可能造成的损失金额进行奖赏,否则不会退还任何资金。
就这样,「白帽黑客」瞬间成了「敲诈勒索」,Percoco 也决定不披露「这家研究公司」的名头并将此事视为刑事案件,计划与执法机构进行协调处理。
本以为事情到这就暂告一段落了,但令人意外的是,安全公司 CertiK 在 Percoco 发文 3 个小时后自动站了出来,称是其发现了 Kraken 中的安全漏洞,且该漏洞可能会导致数亿美元的损失。
CertiK 表示 ,通过测试,其发现了 Kraken 的三个主要问题,且在为期数日的测试期间,均未触发任何 Kraken 警报。CertiK 表示,其在正式报告漏洞后,Kraken 几日才做出回应。而且,在漏洞修复后,Kraken 安全运营团队还威胁 CertiK 个别员工在不合理的时间内偿还不匹配数量的 加密货币 ,甚至连偿还地址都未提供。
一时间,对峙双方各执一词,Kraken 将 CertiK 的行为视为「犯罪」,而 CertiK 则要求 Kraken「停止对白帽黑客的任何威胁」。
对于此事,CT 上议论纷纷,但风评基本偏向于指责 CertiK。尤其是 CertiK 为何要进行持续数日的测试再向 Kraken 报告漏洞令人疑惑。面对该质疑,CertiK 的回应是「真正的问题应该是 Kraken 的深度防御系统为何未能检测到如此多的测试交易。」
而随着事件发展,更多细节被网友们扒出。 @lilbagscientist 发推称, Certik 其实早在 5 月 27 日就进行测试了。而据安全公司 Cyvers 首席技术官 Meir Dolev 观察,CertiK 「曾对 OKX 和 Coinbase 做过类似测试,以确定这两个交易所是否有 Kraken 相同的漏洞」。此外,Certik 相关地址在此期间还向 Tornado 与 ChangeNOW 发送了数笔资产,不免让人疑惑。 Coinbase 产品主管 Conor Grogan 在 CertiK 评论区写道,「你们知道 Tornado Cash 受到 OFAC 制裁吧?而且你们的注册地是在美国,对吧?」
另外,作为行业内公认的顶级白帽黑客,Paradigm 研究合伙人 Samczsun 转发了 Certik 此前的融资新闻(2022 年 4 月,CertiK 完成 8800 万美元融资,Insight Partners、Tiger Global 和 Advent International 领投,参投方包括高盛、 红杉和 Lightspeed Venture 等)调侃道,「我向那些必须解释为什么其投资的公司黑进了一家美国交易所,盗取了 300 万美元,并通过 OFAC 封杀的协议进行洗钱的投资合伙人致以哀思和祈祷。」
与铺天盖地的指责声相比,反观为 CertiK 发声的确实不多,但有些看法值得我们思考。 @trading_axe 在 CertiK 的评论区回复道,「如果你想盗窃资产,为什么要满足于 300 万美元?你应该拿走一切,然后逃命......只黑 300 万,然后被迫归还,只会显得很傻。」的确,如果 CertiK 只为这 300 万美元实施「盗窃」未免太过愚蠢。
而 @BoxMrChen 则以其白帽的自身经历,称对 CertiK 安全研究员的行为表示理解。@BoxMrChen 表示,漏洞赏金背后其实大有文章。有的项目方完全可以以「漏洞提交重复」为由拒绝向白帽黑客提供赏金,或者故意降低漏洞的风险等级,减少赏金的数量。此外,即使项目方慷慨的提供了数万美元的代币赏金,白帽黑客也要等流程审批,往往数个月过去了,代币都跌了 90% 了,赏金还在审批。@BoxMrChen 猜测,CertiK 安全研究员此举只是想等 Kraken 风控发现然后与之谈判。只是 5 天时间里,Kraken 好像没有任何反应,才开始提交漏洞报告。
@BoxMrChen 总结称,「CertiK 做的确实具有争议,但所谓的清高和正义,在这个圈子里又值得多少,比起这些,我更希望是知道 Kraken 愿意支付 CertiK 多少白帽赏金,看看到底是 CertiK 贪贪婪狡诈,还是 Kraken 一毛不拔。」
目前,CertiK 发布 公告 称,已退还所有资金,且此次事件不涉及真实用户资金损失。 CertiK 表示,其之所以进行多次大规模测试是因为想测试 Kraken 的保护和风险控制的极限。但经过多天、近三百万加密货币的多次测试后,仍未触发任何警报。此外,CertiK 称并未参与 Kraken 的悬赏计划,只是通过推特、linkedin 联系了 Kraken 官方和 CSO Nick,最后通过电子邮件发送了详细报告。而且,「团队也从未提过任何悬赏要求。」
至此,本次事件暂告一个段落,只是将部分资产转入 Tornado 与 ChangeNOW 一事,CertiK 并未回应。而对于 CertiK 已归还的资产,Kraken 也暂未致评。
究竟是谁撒了谎?只有 CertiK 和 Kraken 自己知道。目前所有信息都只是猜测,后续会不会有实锤,比如聊天记录,也不得而知。就目前 CertiK 已归还资金的情况,也许,这事儿最后会以所谓的「和解」不了了之。
