CertiK“對壘”Kraken:白帽黑客的尺度,到底怎樣才合適?
美國當地時間 6 月 19 日,加密貨幣交易所 Kraken 和區塊鏈安全公司 CertiK 在社交媒體上就一系列嚴重的安全漏洞問題發生了公开對峙。
事件源於 Kraken 上一個被 CertiK 發現的漏洞:Kraken 首席安全官 Nick Percoco 在推特上披露, 在其漏洞賞金計劃中收到了一份“極其嚴重”的漏洞報告,報告聲稱發現了一個可以人為增加账戶余額的漏洞。 CertiK 稱其為對 Kraken 交易所的一次 安全測試 ,而 Kraken 認為 CertiK 在中間利用漏洞獲利。雙方各執一詞,爭執不下,形成大型喫瓜現場。
Kraken 的事件披露
以下是 Kraken 首席安全官在 X 平臺上發布的事件過程:
“ 2024 年 6 月 9 日,我們收到了一位安全研究員通過漏洞賞金計劃發來的警報。起初沒有具體信息,但他們聲稱發現了一個“極其嚴重”的漏洞, 可以讓他們在我們的平臺上人為地增加余額。
我們每天都會收到一些自稱“安全研究員”的人發來的虛假漏洞報告。對於任何運行漏洞賞金計劃的人來說,這都不是什么新鮮事。然而,我們對此事非常重視,並迅速組建了一個跨職能團隊來調查這一問題。以下是我們的發現。
幾分鐘內,我們發現了一個孤立的漏洞。在特定情況下,這個漏洞允許惡意攻擊者在未完全完成存款的情況下,發起存款操作並在其账戶中收到資金。
需要明確的是,客戶的資產從未面臨風險。 然而,惡意攻擊者可以在一段時間內有效地在他們的 Kraken 账戶中生成資產。
我們將這一漏洞評估為“關鍵”(Critical),並在一小時內(確切地說是 47 分鐘)由我們的專家團隊緩解了這個問題。幾小時內,該問題被完全修復,並且將不會再次發生。
我們的團隊發現,這個漏洞源自最近的用戶體驗(UX)變化,該變化會在客戶資產結算前立即為客戶账戶記账——並允許客戶實時交易加密貨幣市場。這一 UX 變化未針對這種特定攻擊向量進行充分測試。
在修補風險後,我們進行了徹底調查,迅速發現有三個账戶在幾天內利用了這一漏洞。深入調查後,我們注意到其中一個账戶通過身份認證(KYC)關聯到一位自稱為安全研究員的個人。
該個人在我們的資金系統中發現了這個漏洞, 並利用它將其账戶余額增加了 4 美元。 這足以證明漏洞的存在,向我們的團隊提交漏洞賞金報告,並根據我們的計劃條款獲得相當可觀的獎勵。
然而,這位“安全研究員”將這個漏洞透露給了與他合作的另外兩個人,他們利用這個漏洞欺詐性地生成了更大金額的資金。 他們最終從他們的 Kraken 账戶中提取了近 300 萬美元。這些資金來自 Kraken 的金庫,而非其他客戶的資產。
初始的漏洞賞金報告並未完全披露這些交易信息,因此我們聯系了安全研究員,確認一些細節,以便獎勵他們成功發現了我們平臺上的安全漏洞。
隨後,我們要求他們提供活動的詳細說明,創建鏈上活動的概念驗證,並安排歸還他們提取的資金。這是任何漏洞賞金計劃的常見做法。這些安全研究員拒絕了。
相反,他們要求與他們的 BD 團隊(即他們的銷售代表)通話,並在我們提供一個假設的可能損失金額之前,不同意歸還任何資金。這不是白帽黑客行為,而是敲詐!
我們在 Kraken 設立漏洞賞金計劃已有近十年。該計劃由內部運行,並由社區中一些最聰明的人才全職負責。我們的計劃與許多其他計劃一樣,有明確的規則:
-
不要提取超過證明漏洞所需的範圍。
-
展示你的工作(即提供概念驗證)。
-
提取的任何東西必須立即歸還。
我們從未在與合法研究員的合作中遇到任何問題,並且我們總是積極響應。
為了透明起見,我們今天向行業披露了這個漏洞。我們被指責不合理和不專業,因為要求“白帽黑客”歸還他們從我們這裏偷走的東西。這太難以置信了。
作為安全研究員,您的“黑客”許可是通過遵循您參與的漏洞賞金計劃的簡單規則來啓用的。忽視這些規則並敲詐公司會取消您的“黑客”許可。這會使您和您的公司成為罪犯。
我們不會透露這家研究公司的名字,因為他們的行為不值得認可。我們將此視為刑事案件,並與執法機構協調處理。我們感謝這一問題的報告,但僅此而已。
我們的漏洞賞金計劃繼續在 Kraken 的使命中發揮重要作用,並且是我們增強加密生態系統整體安全努力的關鍵部分。我們期待與未來的誠信行為者合作,並將此視為一個獨立的事件。”
CertiK 回應
盡管 Kraken 未對安全研究員所屬的公司發布具體名稱,幾小時之後,CertiK 在 X 平臺上發布了對於此事件的回應。以下是 CertiK 官方 X 平臺發布的回應:
“CertiK 最近在 Kraken 交易所中發現了一系列嚴重漏洞,這些漏洞可能導致數億美元的損失。
從 Kraken 的存款系統發現問題开始,該系統可能無法區分不同的內部轉账狀態,我們進行了徹底調查,重點關注以下三個問題:
1. 惡意行為者能否僞造存款交易到 Kraken 账戶?
2. 惡意行為者能否提取僞造的資金?
3. 大額提款請求可能觸發哪些風險控制和資產保護?
根據我們的測試結果: Kraken 交易所未通過所有這些測試,這表明 Kraken 的深度防御系統在多個方面被破壞。數 百萬美元可以被存入任何 Kraken 账戶。超過 100 萬美元的僞造加密貨幣可以從账戶中提取並轉換為有效加密貨幣。更糟糕的是, 在多天的測試期間,沒有觸發任何警報。 Kraken 在我們正式報告事件後才響應並鎖定了測試账戶。
發現後,我們通知了 Kraken,其安全團隊將其分類為“關鍵”級別,這是 Kraken 最嚴重的安全事件分類級別。
在最初成功識別和修復漏洞後,Kraken 的安全運營團隊威脅個別 CertiK 員工在不合理的時間內償還不匹配數量的加密貨幣,甚至沒有提供償還地址。
本着透明的精神以及我們對Web3社區的承諾,我們公开這些信息以保護所有用戶的安全。我們敦促 Kraken 停止對白帽黑客的任何威脅。
我們共同面對風險,保護Web3的未來。”
之後,CertiK 披露了全部的時間线和存款地址。
CertiK 公布的時間线。來源:CertiK 官方 X
同時,CertiK 還表示,由於 Kraken 未提供償還地址且要求的償還金額完全不匹配,我們根據記錄將現有的資金轉移到 Kraken 能夠訪問的账戶。
其他消息與後續評論
從背景信息上來看,Kraken 的漏洞賞金計劃的獎勵數額確實可觀, 類似於本次事件的最高安全事件級別的賞金在 100-150 萬美元之間。 這與 Kraken 聲稱的三百萬美元數額差額不小,因此,有些人在評論區稱“我看黑客就不應該還“,另一些人則回復“你是想拿着一百萬的賞金還是拿着三百萬的非法所得去蹲大牢?”
Kraken 漏洞賞金計劃的獎金。來源:Kraken
鏈上偵探 ZachXBT 說:這個故事越往後越離譜了(Story only gets more wild as it goes on)。
還有一位推特用戶@trading_axe 另闢蹊徑地說:“我覺得(CertiK)搞砸了……沒有說他們這是偷竊,但是一個小偷會拿走他們能拿的一切東西然後逃離這裏。我覺得他們搞砸之處在於只拿了三百萬美元;如果他們用這個 bug 偷走了一個億以上,那么再還回去,就會顯得是白帽了(言下之意就是,那樣才會讓他們顯得像個救世主/擁有主動權)。但是,你只拿了三百萬而且現在要被迫還回去,這就顯得很弱勢。”
鄭重聲明:本文版權歸原作者所有,轉載文章僅為傳播信息之目的,不構成任何投資建議,如有侵權行為,請第一時間聯絡我們修改或刪除,多謝。
星球日報
文章數量
7619粉絲數
0