CertiK“對壘”Kraken：白帽黑客的尺度，到底怎樣才合適？

2024-06-20 16:06:59

美國當地時間 6 月 19 日，加密貨幣交易所 Kraken 和區塊鏈安全公司 CertiK 在社交媒體上就一系列嚴重的安全漏洞問題發生了公开對峙。

事件源於 Kraken 上一個被 CertiK 發現的漏洞：Kraken 首席安全官 Nick Percoco 在推特上披露， 在其漏洞賞金計劃中收到了一份“極其嚴重”的漏洞報告，報告聲稱發現了一個可以人為增加账戶余額的漏洞。 CertiK 稱其為對 Kraken 交易所的一次 安全測試 ，而 Kraken 認為 CertiK 在中間利用漏洞獲利。雙方各執一詞，爭執不下，形成大型喫瓜現場。

Kraken 的事件披露

以下是 Kraken 首席安全官在 X 平臺上發布的事件過程：

“ 2024 年 6 月 9 日，我們收到了一位安全研究員通過漏洞賞金計劃發來的警報。起初沒有具體信息，但他們聲稱發現了一個“極其嚴重”的漏洞， 可以讓他們在我們的平臺上人為地增加余額。

我們每天都會收到一些自稱“安全研究員”的人發來的虛假漏洞報告。對於任何運行漏洞賞金計劃的人來說，這都不是什么新鮮事。然而，我們對此事非常重視，並迅速組建了一個跨職能團隊來調查這一問題。以下是我們的發現。

幾分鐘內，我們發現了一個孤立的漏洞。在特定情況下，這個漏洞允許惡意攻擊者在未完全完成存款的情況下，發起存款操作並在其账戶中收到資金。

需要明確的是，客戶的資產從未面臨風險。 然而，惡意攻擊者可以在一段時間內有效地在他們的 Kraken 账戶中生成資產。

我們將這一漏洞評估為“關鍵”（Critical），並在一小時內（確切地說是 47 分鐘）由我們的專家團隊緩解了這個問題。幾小時內，該問題被完全修復，並且將不會再次發生。

我們的團隊發現，這個漏洞源自最近的用戶體驗（UX）變化，該變化會在客戶資產結算前立即為客戶账戶記账——並允許客戶實時交易加密貨幣市場。這一 UX 變化未針對這種特定攻擊向量進行充分測試。

在修補風險後，我們進行了徹底調查，迅速發現有三個账戶在幾天內利用了這一漏洞。深入調查後，我們注意到其中一個账戶通過身份認證（KYC）關聯到一位自稱為安全研究員的個人。

該個人在我們的資金系統中發現了這個漏洞， 並利用它將其账戶余額增加了 4 美元。 這足以證明漏洞的存在，向我們的團隊提交漏洞賞金報告，並根據我們的計劃條款獲得相當可觀的獎勵。

然而，這位“安全研究員”將這個漏洞透露給了與他合作的另外兩個人，他們利用這個漏洞欺詐性地生成了更大金額的資金。 他們最終從他們的 Kraken 账戶中提取了近 300 萬美元。這些資金來自 Kraken 的金庫，而非其他客戶的資產。

初始的漏洞賞金報告並未完全披露這些交易信息，因此我們聯系了安全研究員，確認一些細節，以便獎勵他們成功發現了我們平臺上的安全漏洞。

隨後，我們要求他們提供活動的詳細說明，創建鏈上活動的概念驗證，並安排歸還他們提取的資金。這是任何漏洞賞金計劃的常見做法。這些安全研究員拒絕了。

相反，他們要求與他們的 BD 團隊（即他們的銷售代表）通話，並在我們提供一個假設的可能損失金額之前，不同意歸還任何資金。這不是白帽黑客行為，而是敲詐！

我們在 Kraken 設立漏洞賞金計劃已有近十年。該計劃由內部運行，並由社區中一些最聰明的人才全職負責。我們的計劃與許多其他計劃一樣，有明確的規則：

不要提取超過證明漏洞所需的範圍。
展示你的工作（即提供概念驗證）。
提取的任何東西必須立即歸還。

我們從未在與合法研究員的合作中遇到任何問題，並且我們總是積極響應。

為了透明起見，我們今天向行業披露了這個漏洞。我們被指責不合理和不專業，因為要求“白帽黑客”歸還他們從我們這裏偷走的東西。這太難以置信了。

作為安全研究員，您的“黑客”許可是通過遵循您參與的漏洞賞金計劃的簡單規則來啓用的。忽視這些規則並敲詐公司會取消您的“黑客”許可。這會使您和您的公司成為罪犯。

我們不會透露這家研究公司的名字，因為他們的行為不值得認可。我們將此視為刑事案件，並與執法機構協調處理。我們感謝這一問題的報告，但僅此而已。

我們的漏洞賞金計劃繼續在 Kraken 的使命中發揮重要作用，並且是我們增強加密生態系統整體安全努力的關鍵部分。我們期待與未來的誠信行為者合作，並將此視為一個獨立的事件。”

CertiK 回應

盡管 Kraken 未對安全研究員所屬的公司發布具體名稱，幾小時之後，CertiK 在 X 平臺上發布了對於此事件的回應。以下是 CertiK 官方 X 平臺發布的回應：

“CertiK 最近在 Kraken 交易所中發現了一系列嚴重漏洞，這些漏洞可能導致數億美元的損失。

從 Kraken 的存款系統發現問題开始，該系統可能無法區分不同的內部轉账狀態，我們進行了徹底調查，重點關注以下三個問題：

1. 惡意行為者能否僞造存款交易到 Kraken 账戶？

2. 惡意行為者能否提取僞造的資金？

3. 大額提款請求可能觸發哪些風險控制和資產保護？

根據我們的測試結果： Kraken 交易所未通過所有這些測試，這表明 Kraken 的深度防御系統在多個方面被破壞。數 百萬美元可以被存入任何 Kraken 账戶。超過 100 萬美元的僞造加密貨幣可以從账戶中提取並轉換為有效加密貨幣。更糟糕的是， 在多天的測試期間，沒有觸發任何警報。 Kraken 在我們正式報告事件後才響應並鎖定了測試账戶。

發現後，我們通知了 Kraken，其安全團隊將其分類為“關鍵”級別，這是 Kraken 最嚴重的安全事件分類級別。

在最初成功識別和修復漏洞後，Kraken 的安全運營團隊威脅個別 CertiK 員工在不合理的時間內償還不匹配數量的加密貨幣，甚至沒有提供償還地址。

本着透明的精神以及我們對Web3社區的承諾，我們公开這些信息以保護所有用戶的安全。我們敦促 Kraken 停止對白帽黑客的任何威脅。

我們共同面對風險，保護Web3的未來。”

之後，CertiK 披露了全部的時間线和存款地址。

CertiK 公布的時間线。來源：CertiK 官方 X

同時，CertiK 還表示，由於 Kraken 未提供償還地址且要求的償還金額完全不匹配，我們根據記錄將現有的資金轉移到 Kraken 能夠訪問的账戶。

其他消息與後續評論

從背景信息上來看，Kraken 的漏洞賞金計劃的獎勵數額確實可觀， 類似於本次事件的最高安全事件級別的賞金在 100-150 萬美元之間。 這與 Kraken 聲稱的三百萬美元數額差額不小，因此，有些人在評論區稱“我看黑客就不應該還“，另一些人則回復“你是想拿着一百萬的賞金還是拿着三百萬的非法所得去蹲大牢？”

Kraken 漏洞賞金計劃的獎金。來源：Kraken

鏈上偵探 ZachXBT 說：這個故事越往後越離譜了（Story only gets more wild as it goes on）。

還有一位推特用戶@trading_axe 另闢蹊徑地說：“我覺得（CertiK）搞砸了……沒有說他們這是偷竊，但是一個小偷會拿走他們能拿的一切東西然後逃離這裏。我覺得他們搞砸之處在於只拿了三百萬美元；如果他們用這個 bug 偷走了一個億以上，那么再還回去，就會顯得是白帽了（言下之意就是，那樣才會讓他們顯得像個救世主/擁有主動權）。但是，你只拿了三百萬而且現在要被迫還回去，這就顯得很弱勢。”