「白帽黑客」還是「敲詐勒索」：Kraken 與 CertiK 對峙上了

2024-06-22 00:06:17

撰文：Yangz，Techub News

昨日晚間，Kraken 首席安全官 Nick Percoco 發文披露，Kraken 團隊於 6 月 9 日收到漏洞賞金報告，稱發現了一個「極其嚴重」的漏洞，允許攻擊者在未完成存款的情況下人為增加账戶余額。雖然 Kraken 團隊在數小時時內修復了漏洞，但在深入調查的過程中發現該漏洞被三個账戶利用。其中一個账戶的 KYC 信息自稱為「安全研究員」，並利用漏洞為其账戶存入了 4 美元的加密貨幣，然後提交了漏洞賞金報告。但更為關鍵的是，該「研究員」又將漏洞透露給了與他們共事的另外兩個人，導致 Kranken 財庫近 300 萬美元資金被提走。

Percoco 表示，由於最初的報告並沒有完全披露漏洞細節，因此團隊與上述账戶進行了聯系，計劃按照一般漏洞賞金流程安排資金退還，並獎勵其「白帽行為」。但出乎意料的是，「安全研究員」要求與 Kraken 業務开發團隊通話，稱除非按照該漏洞可能造成的損失金額進行獎賞，否則不會退還任何資金。

就這樣，「白帽黑客」瞬間成了「敲詐勒索」，Percoco 也決定不披露「這家研究公司」的名頭並將此事視為刑事案件，計劃與執法機構進行協調處理。

本以為事情到這就暫告一段落了，但令人意外的是，安全公司 CertiK 在 Percoco 發文 3 個小時後自動站了出來，稱是其發現了 Kraken 中的安全漏洞，且該漏洞可能會導致數億美元的損失。

CertiK 表示，通過測試，其發現了 Kraken 的三個主要問題，且在為期數日的測試期間，均未觸發任何 Kraken 警報。CertiK 表示，其在正式報告漏洞後，Kraken 幾日才做出回應。而且，在漏洞修復後，Kraken 安全運營團隊還威脅 CertiK 個別員工在不合理的時間內償還不匹配數量的加密貨幣，甚至連償還地址都未提供。

一時間，對峙雙方各執一詞，Kraken 將 CertiK 的行為視為「犯罪」，而 CertiK 則要求 Kraken「停止對白帽黑客的任何威脅」。

對於此事，CT 上議論紛紛，但風評基本偏向於指責 CertiK。尤其是 CertiK 為何要進行持續數日的測試再向 Kraken 報告漏洞令人疑惑。面對該質疑，CertiK 的回應是「真正的問題應該是 Kraken 的深度防御系統為何未能檢測到如此多的測試交易。」

而隨着事件發展，更多細節被網友們扒出。 @lilbagscientist 發推稱， Certik 其實早在 5 月 27 日就進行測試了。而據安全公司 Cyvers 首席技術官 Meir Dolev 觀察，CertiK 「曾對 OKX 和 Coinbase 做過類似測試，以確定這兩個交易所是否有 Kraken 相同的漏洞」。此外，Certik 相關地址在此期間還向 Tornado 與 ChangeNOW 發送了數筆資產，不免讓人疑惑。 Coinbase 產品主管 Conor Grogan 在 CertiK 評論區寫道，「你們知道 Tornado Cash 受到 OFAC 制裁吧？而且你們的注冊地是在美國，對吧？」

另外，作為行業內公認的頂級白帽黑客，Paradigm 研究合夥人 Samczsun 轉發了 Certik 此前的融資新聞（2022 年 4 月，CertiK 完成 8800 萬美元融資，Insight Partners、Tiger Global 和 Advent International 領投，參投方包括高盛、紅杉和 Lightspeed Venture 等）調侃道，「我向那些必須解釋為什么其投資的公司黑進了一家美國交易所，盜取了 300 萬美元，並通過 OFAC 封殺的協議進行洗錢的投資合夥人致以哀思和祈禱。」

與鋪天蓋地的指責聲相比，反觀為 CertiK 發聲的確實不多，但有些看法值得我們思考。 @trading_axe 在 CertiK 的評論區回復道，「如果你想盜竊資產，為什么要滿足於 300 萬美元？你應該拿走一切，然後逃命......只黑 300 萬，然後被迫歸還，只會顯得很傻。」的確，如果 CertiK 只為這 300 萬美元實施「盜竊」未免太過愚蠢。

而 @BoxMrChen 則以其白帽的自身經歷，稱對 CertiK 安全研究員的行為表示理解。@BoxMrChen 表示，漏洞賞金背後其實大有文章。有的項目方完全可以以「漏洞提交重復」為由拒絕向白帽黑客提供賞金，或者故意降低漏洞的風險等級，減少賞金的數量。此外，即使項目方慷慨的提供了數萬美元的代幣賞金，白帽黑客也要等流程審批，往往數個月過去了，代幣都跌了 90% 了，賞金還在審批。@BoxMrChen 猜測，CertiK 安全研究員此舉只是想等 Kraken 風控發現然後與之談判。只是 5 天時間裏，Kraken 好像沒有任何反應，才开始提交漏洞報告。

@BoxMrChen 總結稱，「CertiK 做的確實具有爭議，但所謂的清高和正義，在這個圈子裏又值得多少，比起這些，我更希望是知道 Kraken 愿意支付 CertiK 多少白帽賞金，看看到底是 CertiK 貪貪婪狡詐，還是 Kraken 一毛不拔。」

目前，CertiK 發布公告稱，已退還所有資金，且此次事件不涉及真實用戶資金損失。 CertiK 表示，其之所以進行多次大規模測試是因為想測試 Kraken 的保護和風險控制的極限。但經過多天、近三百萬加密貨幣的多次測試後，仍未觸發任何警報。此外，CertiK 稱並未參與 Kraken 的懸賞計劃，只是通過推特、linkedin 聯系了 Kraken 官方和 CSO Nick，最後通過電子郵件發送了詳細報告。而且，「團隊也從未提過任何懸賞要求。」

至此，本次事件暫告一個段落，只是將部分資產轉入 Tornado 與 ChangeNOW 一事，CertiK 並未回應。而對於 CertiK 已歸還的資產，Kraken 也暫未致評。

究竟是誰撒了謊？只有 CertiK 和 Kraken 自己知道。目前所有信息都只是猜測，後續會不會有實錘，比如聊天記錄，也不得而知。就目前 CertiK 已歸還資金的情況，也許，這事兒最後會以所謂的「和解」不了了之。