CertiK：向Kraken報告安全漏洞後員工卻遭到其安全運營團隊的威脅

CertiK近期在Kraken交易所發現了一系列的嚴重漏洞，這些漏洞可能潛在地導致數億美元的損失。 事件概述

從發現Kraken交易所 存款系統可能無法區分不同的內部轉账狀態开始，CertiK進行了全面的調查，並提出了三個關鍵問題：

惡意行為者能否僞造一筆存款交易到Kraken账戶？

惡意行為者能否提取僞造的資金？

在大額提款請求時，會觸發哪些風險控制和資產保護措施？

根據測試結果，Kraken交易所未通過所有這些測試，這表明Kraken的縱深防御系統在多個方面都受到了威脅；數百萬美元可以存入任何Kraken账戶。從账戶中可以提取大量僞造的加密貨幣（價值超過100萬美元），並將其轉換為有效的加密貨幣。更糟糕的是，在為期數天的測試期間，沒有觸發任何警報。在我們正式報告事件幾天後，Kraken才做出回應並鎖定了測試账戶。

發現後，CertiK通知了Kraken，其安全團隊將其分類為“Critical”：這是Kraken最嚴重的分類級別。在初步成功識別和修復漏洞後，Kraken的安全運營團隊卻威脅個別CertiK員工，在不合理的時間內償還金額不匹配的加密貨幣，甚至沒有提供還款地址。 細節披露

為了社區可以更透明地了解事件全貌，CertiK提供了事件發生時間线以及測試存款交易明細：

事件發生時間线

測試存款交易明細

其中，CertiK指出：

白帽行動的事實：數百萬美金的加密貨幣是憑空鑄造的，在研究活動中，沒有真正的Kraken用戶資產被涉及。

更嚴重的安全問題：在幾天的時間裏，許多僞造的代幣被生成並提現為有效的加密貨幣，直到CertiK報告之前，沒有任何風險控制或預防機制被觸發。

真正的問題：為什么Kraken的縱深防御系統未能檢測到如此多的測試交易。從不同的測試账戶中連續大額提現，是CertiK測試系統極限的一部分。 結語

本着透明的精神和對Web3社區的承諾，CertiK選擇公开此事以保護所有用戶的安全。CertiK敦促Kraken交易所停止對白帽黑客的任何威脅，攜手合作，共同面對風險，保障Web3的未來。