白帽黑客還是敲詐勒索Kraken 與 CertiK 對峙上了

2024-06-21 16:34 TechubNews


免責聲明: 內容不構成买賣依據,投資有風險,入市需謹慎!

白帽黑客還是敲詐勒索Kraken 與 CertiK 對峙上了

TechubNews 個人專欄 剛剛 關注

撰文:Yangz,Techub News

 

昨日晚間,Kraken 首席安全官 Nick Percoco 發文披露,Kraken 團隊於 6 月 9 日收到漏洞賞金報告,稱發現了一個「極其嚴重」的漏洞,允許攻擊者在未完成存款的情況下人爲增加账戶余額。雖然 Kraken 團隊在數小時時內修復了漏洞,但在深入調查的過程中發現該漏洞被三個账戶利用。其中一個账戶的 KYC 信息自稱爲「安全研究員」,並利用漏洞爲其账戶存入了 4 美元的加密貨幣,然後提交了漏洞賞金報告。但更爲關鍵的是,該「研究員」又將漏洞透露給了與他們共事的另外兩個人,導致 Kranken 財庫近 300 萬美元資金被提走。

 

Percoco 表示,由於最初的報告並沒有完全披露漏洞細節,因此團隊與上述账戶進行了聯系,計劃按照一般漏洞賞金流程安排資金退還,並獎勵其「白帽行爲」。但出乎意料的是,「安全研究員」要求與 Kraken 業務开發團隊通話,稱除非按照該漏洞可能造成的損失金額進行獎賞,否則不會退還任何資金。

 

就這樣,「白帽黑客」瞬間成了「敲詐勒索」,Percoco 也決定不披露「這家研究公司」的名頭並將此事視爲刑事案件,計劃與執法機構進行協調處理。

 

本以爲事情到這就暫告一段落了,但令人意外的是,安全公司 CertiK 在 Percoco 發文 3 個小時後自動站了出來,稱是其發現了 Kraken 中的安全漏洞,且該漏洞可能會導致數億美元的損失。

 

CertiK 表示,通過測試,其發現了 Kraken 的三個主要問題,且在爲期數日的測試期間,均未觸發任何 Kraken 警報。CertiK 表示,其在正式報告漏洞後,Kraken 幾日才做出回應。而且,在漏洞修復後,Kraken 安全運營團隊還威脅 CertiK 個別員工在不合理的時間內償還不匹配數量的加密貨幣,甚至連償還地址都未提供。

 

一時間,對峙雙方各執一詞,Kraken 將 CertiK 的行爲視爲「犯罪」,而 CertiK 則要求 Kraken「停止對白帽黑客的任何威脅」。

 

對於此事,CT 上議論紛紛,但風評基本偏向於指責 CertiK。尤其是 CertiK 爲何要進行持續數日的測試再向 Kraken 報告漏洞令人疑惑。面對該質疑,CertiK 的回應是「真正的問題應該是 Kraken 的深度防御系統爲何未能檢測到如此多的測試交易。」

 

 

而隨着事件發展,更多細節被網友們扒出。@lilbagscientist 發推稱, Certik 其實早在 5 月 27 日就進行測試了。而據安全公司 Cyvers 首席技術官 Meir Dolev 觀察,CertiK 「曾對 OKX 和 Coinbase 做過類似測試,以確定這兩個交易所是否有 Kraken 相同的漏洞」。此外,Certik 相關地址在此期間還向 Tornado 與 ChangeNOW 發送了數筆資產,不免讓人疑惑。Coinbase 產品主管 Conor Grogan 在 CertiK 評論區寫道,「你們知道 Tornado Cash 受到 OFAC 制裁吧?而且你們的注冊地是在美國,對吧?」

 

 

另外,作爲行業內公認的頂級白帽黑客,Paradigm 研究合夥人 Samczsun 轉發了 Certik 此前的融資新聞(2022 年 4 月,CertiK 完成 8800 萬美元融資,Insight Partners、Tiger Global 和 Advent International 領投,參投方包括高盛、 紅杉和 Lightspeed Venture 等)調侃道,「我向那些必須解釋爲什么其投資的公司黑進了一家美國交易所,盜取了 300 萬美元,並通過 OFAC 封殺的協議進行洗錢的投資合夥人致以哀思和祈禱。」

 

 

與鋪天蓋地的指責聲相比,反觀爲 CertiK 發聲的確實不多,但有些看法值得我們思考。@trading_axe 在 CertiK 的評論區回復道,「如果你想盜竊資產,爲什么要滿足於 300 萬美元?你應該拿走一切,然後逃命......只黑 300 萬,然後被迫歸還,只會顯得很傻。」的確,如果 CertiK 只爲這 300 萬美元實施「盜竊」未免太過愚蠢。

 

而 @BoxMrChen 則以其白帽的自身經歷,稱對 CertiK 安全研究員的行爲表示理解。@BoxMrChen 表示,漏洞賞金背後其實大有文章。有的項目方完全可以以「漏洞提交重復」爲由拒絕向白帽黑客提供賞金,或者故意降低漏洞的風險等級,減少賞金的數量。此外,即使項目方慷慨的提供了數萬美元的代幣賞金,白帽黑客也要等流程審批,往往數個月過去了,代幣都跌了 90% 了,賞金還在審批。@BoxMrChen 猜測,CertiK 安全研究員此舉只是想等 Kraken 風控發現然後與之談判。只是 5 天時間裏,Kraken 好像沒有任何反應,才开始提交漏洞報告。

 

@BoxMrChen 總結稱,「CertiK 做的確實具有爭議,但所謂的清高和正義,在這個圈子裏又值得多少,比起這些,我更希望是知道 Kraken 愿意支付 CertiK 多少白帽賞金,看看到底是 CertiK 貪貪婪狡詐,還是 Kraken 一毛不拔。」

 

目前,CertiK 發布公告稱,已退還所有資金,且此次事件不涉及真實用戶資金損失。 CertiK 表示,其之所以進行多次大規模測試是因爲想測試 Kraken 的保護和風險控制的極限。但經過多天、近三百萬加密貨幣的多次測試後,仍未觸發任何警報。此外,CertiK 稱並未參與 Kraken 的懸賞計劃,只是通過推特、linkedin 聯系了 Kraken 官方和 CSO Nick,最後通過電子郵件發送了詳細報告。而且,「團隊也從未提過任何懸賞要求。」

 

至此,本次事件暫告一個段落,只是將部分資產轉入 Tornado 與 ChangeNOW 一事,CertiK 並未回應。而對於 CertiK 已歸還的資產,Kraken 也暫未致評。

 

究竟是誰撒了謊?只有 CertiK 和 Kraken 自己知道。目前所有信息都只是猜測,後續會不會有實錘,比如聊天記錄,也不得而知。就目前 CertiK 已歸還資金的情況,也許,這事兒最後會以所謂的「和解」不了了之。

0 好文章,需要你的鼓勵
了解更多區塊鏈一线報道,與作者、讀者更深入探討、交流,歡迎添加小助手QQ: 3150128700, 進入[金色財經讀者交流群]。
聲明:本文系金色財經原創稿件,版權屬金色財經所有,未經授權不得轉載,已經協議授權的媒體下載使用時須注明"稿件來源:金色財經",違者將依法追究責任。
本文作者: TechubNews
打开金色財經App 閱讀全文 打开金色財經,閱讀體驗更佳 金色財經 > TechubNews > 白帽黑客還是敲詐勒索Kraken 與 CertiK 對峙上了 免責聲明: 金色財經作爲开放的資訊分享平台,所提供的所有資訊僅代表作者個人觀點,與金色財經平台立場無關,且不構成任何投資理財建議。

鄭重聲明:本文版權歸原作者所有,轉載文章僅為傳播信息之目的,不構成任何投資建議,如有侵權行為,請第一時間聯絡我們修改或刪除,多謝。

標題:白帽黑客還是敲詐勒索Kraken 與 CertiK 對峙上了

地址:https://www.sgitmedia.com/article/32923.html

相關閱讀: