白帽黑客還是敲詐勒索Kraken 與 CertiK 對峙上了
2024-06-21 16:34 TechubNews
白帽黑客還是敲詐勒索Kraken 與 CertiK 對峙上了
撰文:Yangz,Techub News
昨日晚間,Kraken 首席安全官 Nick Percoco 發文披露,Kraken 團隊於 6 月 9 日收到漏洞賞金報告,稱發現了一個「極其嚴重」的漏洞,允許攻擊者在未完成存款的情況下人爲增加账戶余額。雖然 Kraken 團隊在數小時時內修復了漏洞,但在深入調查的過程中發現該漏洞被三個账戶利用。其中一個账戶的 KYC 信息自稱爲「安全研究員」,並利用漏洞爲其账戶存入了 4 美元的加密貨幣,然後提交了漏洞賞金報告。但更爲關鍵的是,該「研究員」又將漏洞透露給了與他們共事的另外兩個人,導致 Kranken 財庫近 300 萬美元資金被提走。
Percoco 表示,由於最初的報告並沒有完全披露漏洞細節,因此團隊與上述账戶進行了聯系,計劃按照一般漏洞賞金流程安排資金退還,並獎勵其「白帽行爲」。但出乎意料的是,「安全研究員」要求與 Kraken 業務开發團隊通話,稱除非按照該漏洞可能造成的損失金額進行獎賞,否則不會退還任何資金。
就這樣,「白帽黑客」瞬間成了「敲詐勒索」,Percoco 也決定不披露「這家研究公司」的名頭並將此事視爲刑事案件,計劃與執法機構進行協調處理。
本以爲事情到這就暫告一段落了,但令人意外的是,安全公司 CertiK 在 Percoco 發文 3 個小時後自動站了出來,稱是其發現了 Kraken 中的安全漏洞,且該漏洞可能會導致數億美元的損失。
CertiK 表示,通過測試,其發現了 Kraken 的三個主要問題,且在爲期數日的測試期間,均未觸發任何 Kraken 警報。CertiK 表示,其在正式報告漏洞後,Kraken 幾日才做出回應。而且,在漏洞修復後,Kraken 安全運營團隊還威脅 CertiK 個別員工在不合理的時間內償還不匹配數量的加密貨幣,甚至連償還地址都未提供。
一時間,對峙雙方各執一詞,Kraken 將 CertiK 的行爲視爲「犯罪」,而 CertiK 則要求 Kraken「停止對白帽黑客的任何威脅」。
對於此事,CT 上議論紛紛,但風評基本偏向於指責 CertiK。尤其是 CertiK 爲何要進行持續數日的測試再向 Kraken 報告漏洞令人疑惑。面對該質疑,CertiK 的回應是「真正的問題應該是 Kraken 的深度防御系統爲何未能檢測到如此多的測試交易。」
而隨着事件發展,更多細節被網友們扒出。@lilbagscientist 發推稱, Certik 其實早在 5 月 27 日就進行測試了。而據安全公司 Cyvers 首席技術官 Meir Dolev 觀察,CertiK 「曾對 OKX 和 Coinbase 做過類似測試,以確定這兩個交易所是否有 Kraken 相同的漏洞」。此外,Certik 相關地址在此期間還向 Tornado 與 ChangeNOW 發送了數筆資產,不免讓人疑惑。Coinbase 產品主管 Conor Grogan 在 CertiK 評論區寫道,「你們知道 Tornado Cash 受到 OFAC 制裁吧?而且你們的注冊地是在美國,對吧?」
另外,作爲行業內公認的頂級白帽黑客,Paradigm 研究合夥人 Samczsun 轉發了 Certik 此前的融資新聞(2022 年 4 月,CertiK 完成 8800 萬美元融資,Insight Partners、Tiger Global 和 Advent International 領投,參投方包括高盛、 紅杉和 Lightspeed Venture 等)調侃道,「我向那些必須解釋爲什么其投資的公司黑進了一家美國交易所,盜取了 300 萬美元,並通過 OFAC 封殺的協議進行洗錢的投資合夥人致以哀思和祈禱。」
與鋪天蓋地的指責聲相比,反觀爲 CertiK 發聲的確實不多,但有些看法值得我們思考。@trading_axe 在 CertiK 的評論區回復道,「如果你想盜竊資產,爲什么要滿足於 300 萬美元?你應該拿走一切,然後逃命......只黑 300 萬,然後被迫歸還,只會顯得很傻。」的確,如果 CertiK 只爲這 300 萬美元實施「盜竊」未免太過愚蠢。
而 @BoxMrChen 則以其白帽的自身經歷,稱對 CertiK 安全研究員的行爲表示理解。@BoxMrChen 表示,漏洞賞金背後其實大有文章。有的項目方完全可以以「漏洞提交重復」爲由拒絕向白帽黑客提供賞金,或者故意降低漏洞的風險等級,減少賞金的數量。此外,即使項目方慷慨的提供了數萬美元的代幣賞金,白帽黑客也要等流程審批,往往數個月過去了,代幣都跌了 90% 了,賞金還在審批。@BoxMrChen 猜測,CertiK 安全研究員此舉只是想等 Kraken 風控發現然後與之談判。只是 5 天時間裏,Kraken 好像沒有任何反應,才开始提交漏洞報告。
@BoxMrChen 總結稱,「CertiK 做的確實具有爭議,但所謂的清高和正義,在這個圈子裏又值得多少,比起這些,我更希望是知道 Kraken 愿意支付 CertiK 多少白帽賞金,看看到底是 CertiK 貪貪婪狡詐,還是 Kraken 一毛不拔。」
目前,CertiK 發布公告稱,已退還所有資金,且此次事件不涉及真實用戶資金損失。 CertiK 表示,其之所以進行多次大規模測試是因爲想測試 Kraken 的保護和風險控制的極限。但經過多天、近三百萬加密貨幣的多次測試後,仍未觸發任何警報。此外,CertiK 稱並未參與 Kraken 的懸賞計劃,只是通過推特、linkedin 聯系了 Kraken 官方和 CSO Nick,最後通過電子郵件發送了詳細報告。而且,「團隊也從未提過任何懸賞要求。」
至此,本次事件暫告一個段落,只是將部分資產轉入 Tornado 與 ChangeNOW 一事,CertiK 並未回應。而對於 CertiK 已歸還的資產,Kraken 也暫未致評。
究竟是誰撒了謊?只有 CertiK 和 Kraken 自己知道。目前所有信息都只是猜測,後續會不會有實錘,比如聊天記錄,也不得而知。就目前 CertiK 已歸還資金的情況,也許,這事兒最後會以所謂的「和解」不了了之。
鄭重聲明:本文版權歸原作者所有,轉載文章僅為傳播信息之目的,不構成任何投資建議,如有侵權行為,請第一時間聯絡我們修改或刪除,多謝。
標題:白帽黑客還是敲詐勒索Kraken 與 CertiK 對峙上了
地址:https://www.sgitmedia.com/article/32923.html
相關閱讀:
- IntoTheBlock 聯創:Web3基礎設施正在被過度建造 我們正在盲目行事 2024-12-20
- 國際清算銀行最新提出的央行數字貨幣框架究竟是什么? 2024-12-20
- SOL 質押完整指南:從機制和收益等方面解析 Solana 質押生態 2024-12-20
- 特朗普正式獲得總統職位 BTC儲備競賽即將开啓 2024-12-20
- 預防量子計算威脅實用指南 2024-12-20
- 特朗普兩年時間通過加密貨幣賺了多少錢? 2024-12-20
- Chainalysis:朝鮮黑客從加密平台竊取的錢都幹什么了? 2024-12-20
- 估值45億美元,OpenAI和谷歌大佬聯手創立的AI Agent公司爲何這么牛? 2024-12-20