在本文中,我們討論一個令人難以置信的故事:幾天前,審計公司 Certik 發現加密貨幣交易所 Kraken 的安全系統存在一個漏洞,可能導致嚴重的黑客攻擊。
在進行了三天的測試並執行了價值 300 萬美元的“白帽黑客”攻擊後,Certik 聯繫了 Kraken 並告知了該漏洞,但最初拒絕立即退還被盜金額。
該加密貨幣交易所立即聯繫了執法部門,將該情況視爲刑事案件,而該加密安全公司則堅稱這是“賞金計劃”的典型測試。現在資金似乎已經退還。
下面讓我們詳細瞭解一下。
這個故事開始於 2024 年 6 月 9 日,當時加密貨幣交易所 Kraken 收到一位“安全研究人員”的非正式通信,該研究人員聲稱發現了該平臺上的一個漏洞,可能導致大規模黑客攻擊。
Kraken 首席安全官 Nick Percoco 在事後推文中指出,研究人員指出存款安全系統存在漏洞(無法區分內部轉賬的不同狀態),這允許用戶虛增餘額並提取比實際可用金額更多的代幣。交易所立即採取行動解決該問題,僅用 47 分鐘,專家團隊就成功修復了該漏洞。
Percoco 的報告如下:
“該漏洞允許惡意攻擊者在適當的情況下在我們的平臺上發起存款,並在未完全完成存款的情況下將資金存入他們的賬戶。需要明確的是,客戶資產從未受到任何風險”
Kraken 安全更新:
— Nick Percoco (@c7five) 2024 年 6 月 19 日
2024 年 6 月 9 日,我們收到了一名安全研究人員發來的 Bug Bounty 計劃警報。最初沒有透露具體細節,但他們在電子郵件中聲稱發現了一個“極其嚴重”的漏洞,該漏洞使他們能夠人爲地增加我們平臺上的餘額。
到目前爲止一切正常,只是聯繫 Kraken 的研究人員所在的同一家安全公司web3在正式報告該漏洞之前,曾對該平臺進行過多次黑客攻擊,總計損失了 300 萬美元。
Percoco 的帖子發佈後,知名審計公司 Certik 立即承擔了此事的責任,並透露其在此事中扮演的關鍵角色。
據稱,Certik 通過進行大規模攻擊來“測試”Kraken 的防禦機制,並從 3 個不同的賬戶中提取大量MATIC代幣,然後通過 Tornado Cash 混合器清除資金痕跡。
該交易所的安全經理解釋稱,在解決問題後, Kraken 要求 Certik 退還資金,但遭到了拒絕。
儘管如此,Certik 堅稱其活動符合“白帽黑客”的原則。
儘管在與 Kraken 溝通之前的 3 天內進行了提款測試,但 Certik 顯然並未提及這 3 個賬戶攻擊者在該事件中所扮演的角色。
發現該漏洞的安全研究人員本來要求獲得一大筆賞金,因爲他發現了一個可能導致嚴重黑客攻擊的重大缺陷,但 Kraken 堅持要退還他們的資金。
由於審計公司拒絕歸還贓款,而且似乎確實隱藏了黑客攻擊的證據,該交易所決定將此情況視爲刑事案件,並通知主管部門和執法部門。
這家 web3 安全公司曾要求交易所支付相當於該漏洞未披露時可能造成的損失的賞金,這讓交易所平臺團隊非常憤怒。
Percoco 在他的 X 個人資料上評論了所發生的事情,表達了他對 Certik 行爲的強烈反對:
“這不是白帽黑客,這是敲詐勒索”。
我們不會披露這家研究公司,因爲他們的行爲不值得認可。我們將此視爲刑事案件,並正在與執法機構進行協調。我們很感激這個問題被報告,但這個想法就到此爲止了。
— Nick Percoco (@c7five) 2024 年 6 月 19 日
Certik在介紹自己是負責發現存款系統缺陷的公司後,立即否認了 Kraken 的報道,並強調了其“白帽黑客”角色及其積極意圖。
該公司透露,它已經設置了一次大規模的黑客攻擊,金額達 300 萬美元,僅僅是爲了測試交易所的防禦能力,但它也強調,它從未拒絕歸還戰利品,而是希望確保一切都正確執行。
Certik 表示,她對這個漏洞可能造成的潛在負面影響感到驚訝,尤其是 Kraken 的警報從未被觸發這一事實。她在一篇帖子中表示:
“數百萬美元可以存入任何 Kraken 賬戶。大量加密貨幣(價值超過 100 萬美元)可以從賬戶中提取並轉換爲有效加密貨幣。更糟糕的是,在多日測試期間,沒有觸發任何警報”。
此外,審計公司解釋說,交易所團隊的一名成員曾威脅他們自己的研究人員,要求他們在不合理的時間內(6 小時)退還款項,但沒有提供還款地址。
此次黑客攻擊發生幾天後,兩家公司進行了通話,試圖找到解決方案並解決此問題。
CertiK 最近在@krakenfx交易所中發現了一系列嚴重漏洞,可能會導致數億美元的損失。
— CertiK (@CertiK) 2024 年 6 月 19 日
從@krakenfx的存款系統中發現的問題開始,它可能無法區分不同的內部...... pic.twitter.com/JZkMXj2ZCD
顯然,引發混亂的原因是 Kraken 提出的賞金數額,這與所做的努力和阻止的潛在漏洞不相稱。正如 Kraken 發言人向 Coindesk 報道的那樣:
“我們真誠地讓這些研究人員參與進來,並根據管理漏洞賞金計劃的十年經驗,爲他們的努力提供了相當可觀的賞金。我們對這次經歷感到失望,目前正在與執法部門合作,從這些安全研究人員那裏追回資產”。
今天,Certik 發佈了另一篇文章,其中包含一些常見問題解答,以進一步澄清他們的立場並消除任何疑問。
該安全公司重申,它“始終”確認將歸還被盜金額,並表示現在所有資金都回到了 Kraken 的手中。
這些資金以 734.19215 ETH、29,001 USDT 和 1021.1 XMR 的形式退還給發送者,而交易所明確要求發送 155818.4468 MATIC、907400.1803 USDT、475.5557871 ETH 和 1089.794737 XMR,總等值價值約高出 100,000 美元。
CertiK-Kraken 近期白帽行動問答:
— CertiK (@CertiK) 2024 年 6 月 20 日
1. 有真實用戶損失資金嗎?
不是。加密貨幣是憑空產生的,我們的研究活動並未直接涉及任何真正的 Kraken 用戶的資產。
2. 我們拒絕退還資金嗎?
沒有。在我們與…的溝通中
Kraken 堅持“白帽黑客”的道德觀念,並堅持認爲 Certik 實施的欺凌行爲可認定爲敲詐勒索行爲。
交易所的賞金計劃確實要求第三方發現問題,利用測試漏洞所需的最少金額(無需執行 300 萬美元的黑客攻擊),返還資源,並提供有關漏洞的詳細信息。