「白帽黑客」還是「敲詐勒索」:Kraken 與 CertiK 對峙上了
撰文:Yangz,Techub News
昨日晚間,Kraken 首席安全官 Nick Percoco 發文披露,Kraken 團隊於 6 月 9 日收到漏洞賞金報告,稱發現了一個「極其嚴重」的漏洞,允許攻擊者在未完成存款的情況下人為增加账戶余額。雖然 Kraken 團隊在數小時時內修復了漏洞,但在深入調查的過程中發現該漏洞被三個账戶利用。其中一個账戶的 KYC 信息自稱為「安全研究員」,並利用漏洞為其账戶存入了 4 美元的 加密貨幣 ,然後提交了漏洞賞金報告。但更為關鍵的是,該「研究員」又將漏洞透露給了與他們共事的另外兩個人,導致 Kranken 財庫近 300 萬美元資金被提走。
Percoco 表示,由於最初的報告並沒有完全披露漏洞細節,因此團隊與上述账戶進行了聯系,計劃按照一般漏洞賞金流程安排資金退還,並獎勵其「白帽行為」。但出乎意料的是,「安全研究員」要求與 Kraken 業務开發團隊通話,稱除非按照該漏洞可能造成的損失金額進行獎賞,否則不會退還任何資金。
就這樣,「白帽黑客」瞬間成了「敲詐勒索」,Percoco 也決定不披露「這家研究公司」的名頭並將此事視為刑事案件,計劃與執法機構進行協調處理。
本以為事情到這就暫告一段落了,但令人意外的是,安全公司 CertiK 在 Percoco 發文 3 個小時後自動站了出來,稱是其發現了 Kraken 中的安全漏洞,且該漏洞可能會導致數億美元的損失。
CertiK 表示 ,通過測試,其發現了 Kraken 的三個主要問題,且在為期數日的測試期間,均未觸發任何 Kraken 警報。CertiK 表示,其在正式報告漏洞後,Kraken 幾日才做出回應。而且,在漏洞修復後,Kraken 安全運營團隊還威脅 CertiK 個別員工在不合理的時間內償還不匹配數量的 加密貨幣 ,甚至連償還地址都未提供。
一時間,對峙雙方各執一詞,Kraken 將 CertiK 的行為視為「犯罪」,而 CertiK 則要求 Kraken「停止對白帽黑客的任何威脅」。
對於此事,CT 上議論紛紛,但風評基本偏向於指責 CertiK。尤其是 CertiK 為何要進行持續數日的測試再向 Kraken 報告漏洞令人疑惑。面對該質疑,CertiK 的回應是「真正的問題應該是 Kraken 的深度防御系統為何未能檢測到如此多的測試交易。」
而隨着事件發展,更多細節被網友們扒出。 @lilbagscientist 發推稱, Certik 其實早在 5 月 27 日就進行測試了。而據安全公司 Cyvers 首席技術官 Meir Dolev 觀察,CertiK 「曾對 OKX 和 Coinbase 做過類似測試,以確定這兩個交易所是否有 Kraken 相同的漏洞」。此外,Certik 相關地址在此期間還向 Tornado 與 ChangeNOW 發送了數筆資產,不免讓人疑惑。 Coinbase 產品主管 Conor Grogan 在 CertiK 評論區寫道,「你們知道 Tornado Cash 受到 OFAC 制裁吧?而且你們的注冊地是在美國,對吧?」
另外,作為行業內公認的頂級白帽黑客,Paradigm 研究合夥人 Samczsun 轉發了 Certik 此前的融資新聞(2022 年 4 月,CertiK 完成 8800 萬美元融資,Insight Partners、Tiger Global 和 Advent International 領投,參投方包括高盛、 紅杉和 Lightspeed Venture 等)調侃道,「我向那些必須解釋為什么其投資的公司黑進了一家美國交易所,盜取了 300 萬美元,並通過 OFAC 封殺的協議進行洗錢的投資合夥人致以哀思和祈禱。」
與鋪天蓋地的指責聲相比,反觀為 CertiK 發聲的確實不多,但有些看法值得我們思考。 @trading_axe 在 CertiK 的評論區回復道,「如果你想盜竊資產,為什么要滿足於 300 萬美元?你應該拿走一切,然後逃命......只黑 300 萬,然後被迫歸還,只會顯得很傻。」的確,如果 CertiK 只為這 300 萬美元實施「盜竊」未免太過愚蠢。
而 @BoxMrChen 則以其白帽的自身經歷,稱對 CertiK 安全研究員的行為表示理解。@BoxMrChen 表示,漏洞賞金背後其實大有文章。有的項目方完全可以以「漏洞提交重復」為由拒絕向白帽黑客提供賞金,或者故意降低漏洞的風險等級,減少賞金的數量。此外,即使項目方慷慨的提供了數萬美元的代幣賞金,白帽黑客也要等流程審批,往往數個月過去了,代幣都跌了 90% 了,賞金還在審批。@BoxMrChen 猜測,CertiK 安全研究員此舉只是想等 Kraken 風控發現然後與之談判。只是 5 天時間裏,Kraken 好像沒有任何反應,才开始提交漏洞報告。
@BoxMrChen 總結稱,「CertiK 做的確實具有爭議,但所謂的清高和正義,在這個圈子裏又值得多少,比起這些,我更希望是知道 Kraken 愿意支付 CertiK 多少白帽賞金,看看到底是 CertiK 貪貪婪狡詐,還是 Kraken 一毛不拔。」
目前,CertiK 發布 公告 稱,已退還所有資金,且此次事件不涉及真實用戶資金損失。 CertiK 表示,其之所以進行多次大規模測試是因為想測試 Kraken 的保護和風險控制的極限。但經過多天、近三百萬加密貨幣的多次測試後,仍未觸發任何警報。此外,CertiK 稱並未參與 Kraken 的懸賞計劃,只是通過推特、linkedin 聯系了 Kraken 官方和 CSO Nick,最後通過電子郵件發送了詳細報告。而且,「團隊也從未提過任何懸賞要求。」
至此,本次事件暫告一個段落,只是將部分資產轉入 Tornado 與 ChangeNOW 一事,CertiK 並未回應。而對於 CertiK 已歸還的資產,Kraken 也暫未致評。
究竟是誰撒了謊?只有 CertiK 和 Kraken 自己知道。目前所有信息都只是猜測,後續會不會有實錘,比如聊天記錄,也不得而知。就目前 CertiK 已歸還資金的情況,也許,這事兒最後會以所謂的「和解」不了了之。
鄭重聲明:本文版權歸原作者所有,轉載文章僅為傳播信息之目的,不構成任何投資建議,如有侵權行為,請第一時間聯絡我們修改或刪除,多謝。
獨家專訪》幣安區域市場總負責人Vishal Sacheendran:幣安不會成為銀行、臺灣監管有好的開始
全 球最大加密貨幣交易所 幣安 全球區域市場總負責人 Vishal Sacheendran 於臺北...
Tether入局加密貨幣風投基金,多角化經營成 USDT 背後核心戰略
全 球市值最大穩定幣 USDT 發行商 Tether 近期宣布向 Arcanum Capital...
Bitget 公布價值超過50億美元的「BGB 代幣銷毀計劃」,新白皮書正式發布
全 球領先的加密貨幣交易所與 Web3 公司 Bitget 發布其原生代幣 Bitget Toke...
LBank Pulse Focus專訪:Murad揭祕2025年MEME幣超級周期的未來
每個時代都需要屬於自己的精神領袖,meme 領域也是如此。 如果說上一輪大肆宣揚狗狗幣世界首富 M...
博鏈財經
文章數量
738粉絲數
0