昨日晚间,加密货币交易所Kraken的首席安全官Nick Percoco发文披露,Kraken团队在6月9日收到了一个严重漏洞的报告。该漏洞允许攻击者在未完成存款的情况下操纵账户余额。尽管Kraken团队在几小时内修复了漏洞,但在深入调查的过程中发现有三个账户利用了该漏洞。其中一个账户自称为“安全研究员”,利用漏洞为账户存入了4美元的加密货币,并提交了漏洞报告。然而更为关键的是,该“研究员”将漏洞透露给了另外两个人,导致Kraken失去了近300万美元的资金。
Percoco表示,由于最初的报告没有完全披露漏洞的细节,团队与上述账户进行了联系,计划按照一般的漏洞赏金流程安排资金退还,并奖励其“白帽行为”。但出乎意料的是,该“安全研究员”要求与Kraken业务开发团队通话,称除非按照该漏洞可能造成的损失金额进行奖赏,否则不会退还任何资金。
于是,“白帽黑客”瞬间变成了“敲诈勒索者”,Percoco决定不披露“这家研究公司”的名字,并将此事视为刑事案件,计划与执法机构进行协调处理。
本以为事情到此就结束了,但令人意外的是,安全公司CertiK在Percoco发文3个小时后站出来,称是他们发现了Kraken的安全漏洞,并且该漏洞可能会导致数亿美元的损失。
CertiK表示,通过测试,他们发现了Kraken的三个主要问题,并且在为期数日的测试期间,没有触发任何Kraken的警报。CertiK表示,在正式报告漏洞后,Kraken几天才做出回应。而且,在漏洞修复后,Kraken的安全运营团队还威胁CertiK个别员工在不合理的时间内偿还不匹配数量的加密货币,甚至连偿还地址都未提供。
对峙双方各执一词,Kraken将CertiK的行为视为“犯罪”,而CertiK则要求Kraken“停止对白帽黑客的任何威胁”。
对于此事,加密货币社区上的评论纷纷指责CertiK。尤其是CertiK为何要进行持续数日的测试再向Kraken报告漏洞令人疑惑。面对这些质疑,CertiK回应称“真正的问题应该是Kraken的深度防御系统为何未能检测到如此多的测试交易。”
随着事件的发展,更多细节被网友们揭露。有人称,CertiK实际上早在5月27日就对Kraken进行了测试。还有安全公司Cyvers的首席技术官Meir Dolev观察到,CertiK还对OKX和Coinbase进行了类似的测试,以确定这两个交易所是否存在Kraken相同的漏洞。此外,CertiK在此期间还向Tornado和ChangeNOW发送了资产,这让人们感到疑惑。Coinbase的产品主管Conor Grogan在CertiK的评论区写道,“你们知道Tornado Cash受到OFAC制裁吗?而且你们的注册地是在美国,对吧?”
作为行业内公认的顶级白帽黑客,Paradigm研究合伙人Samczsun调侃称,“我向那些必须解释为什么他们投资的公司黑进了一家美国交易所,盗取了300万美元,并通过OFAC封杀的协议进行洗钱的投资合伙人致以哀思和祈祷。”
与指责声相比,对CertiK发声的人很少,但有些观点值得我们思考。有人在CertiK的评论区回复道,“如果你想窃取资产,为什么只满足于300万美元?你应该拿走一切,然后逃之夭夭……只黑300万,然后被迫归还,只会显得很傻。”确实,如果CertiK只是为了这300万美元而实施“窃取”,未免太过愚蠢。
还有人以自身作为白帽黑客的经历表示理解CertiK安全研究员的行为。他表示,漏洞赏金背后有很多事情可以做。一些项目方完全可以以“漏洞提交重复”为由拒绝给白帽黑客提供赏金,或者故意降低漏洞的风险等级,减少赏金的数量。此外,即使项目方慷慨地提供了数万美元的代币赏金,白帽黑客也要等待审批流程,往往几个月过去了,代币的价值已经下跌了90%,赏金还在审批中。他猜测,CertiK安全研究员此举只是想等Kraken的风控发现然后与之谈判。只是在5天的时间里,Kraken好像没有任何反应,才开始提交漏洞报告。
他总结道,“CertiK做得确实有争议,但在这个圈子里,所谓的清高和正义又值得多少?比起这些,我更希望知道Kraken愿意支付CertiK多少白帽赏金,看看到底是CertiK贪婪狡诈,还是Kraken一毛不拔。”
目前,CertiK发布公告称已经退还了所有资金,此次事件不涉及真实用户资金损失。CertiK表示,他们之所以进行多次大规模测试是为了测试Kraken的保护和风险控制的极限。但经过多天、近三百万加密货币的多次测试后,仍未触发任何警报。此外,CertiK称并未参与Kraken的悬赏计划,只是通过推特、LinkedIn联系了Kraken官方和首席安全官Nick,最后通过电子邮件发送了详细报告。而且,“团队也从未提过任何悬赏要求。”
至此,本次事件告一段落,只是将部分资产转入Tornado和ChangeNOW的事情,CertiK并未回应。至于CertiK已归还的资产,Kraken也暂未发表评论。
究竟是谁说谎,只有CertiK和Kraken自己知道。目前所有的信息都只是猜测,是否会有实锤,比如聊天记录,还不得而知。就目前CertiK已归还资金的情况来看,也许,这件事最后会以所谓的“和解”不了了之。