jakiro
作者:Climber,比特鏈視界
6月19日,Kraken首席安全官Nick Percoco表示某安全公司員工利用平臺漏洞提超300萬美元數字資產,該行為已屬刑責中的敲詐勒索案件。
事件矛頭直指區塊鏈安全機構CertiK,對此該機構回復稱此行為系白帽黑客動作,旨在幫助加密交易平臺Kraken發現系統漏洞,預防更大損失。而因測試所產生的必要交易加密資產也已全部返還,但與Kraken要求總額不同。
對於兩方爭論,有觀點傾向於CertiK可能存在監守自盜行徑,但也有人認為說CertiK偷盜不合邏輯,黑帽白帽就在一念之間,問題焦點可能就在賞金數量上。
對陣雙方各執一詞
事件起因是 6 月 9 日一位安全研究員向Kraken報告了一個安全漏洞,即可以通過偽造存款來提取真資產。事後,Kraken方面發現並修復漏洞的同時也注意到有相關帳戶地址已經利用該漏洞提取了大量資產。
於是在6月19日,Kraken 首席安全官 Nick Percoco 表示,與這位安全研究人員相關的兩個帳戶已利用該漏洞提取了價值超過 300 萬美元的數字資產。我們要求與對方所在公司通話,但對方不同意退還任何資金。
有鑑於此,Kraken方面認為,該行為已不是白帽黑客,而是敲詐勒索。
對於Kraken的言論以及社區輿論,CertiK方面多次表態,聲稱自己是清白的,並發文闡述了事件的來龍去脈。
CertiK稱,此前已發現Kraken存在一系列嚴重漏洞,或將導致數億美元損失。而Kraken存款系統無法有效區分不同的內部轉帳狀態,存在惡意行為者偽造存款交易並提取偽造資金的風險。
測試期間,數百萬美元的虛假資金可以被存入Kraken帳戶,並提取超過100萬美元的偽造加密貨幣轉化為有效資產,且Kraken系統未觸發任何警報。CertiK通知Kraken後,Kraken將漏洞分類為「Critical」,並初步修復了問題。
不過,CertiK指出,Kraken安全團隊隨後威脅CertiK員工,要求在不合理的時間內償還不匹配的加密貨幣,並未提供還款地址。為了保護用戶安全,CertiK決定公開此事,呼籲Kraken停止對白帽黑客的任何威脅,強調通過合作應對風險。
此外,CertiK還表示其確認已返還所有持有的資金,但總金額與 Kraken 要求不一致。返還金額包括 734.19215 ETH、29,001 USDT 和 1021.1 XMR,而 Kraken 請求返還的金額為 155818.4468 MATIC、907400.1803 USDT、475.5557871 ETH 和 1089.794737 XMR。
而在最新的公開回覆信中,CertiK回答了事件較為核心的10個問題,其中尤其提到他們沒有參與Kraken賞金計劃,並從最開始就已將所有測試存款地址公開。
社區意見不一
Certik針對此次事件列出了完整的事件線,但包括安全研究員@tayvano在內的多位社區成員發出了質疑。
按照Certik的說法,他們測試和告知Kraken的時間是從6月5日開始的。然而@tayvano卻通過研究鏈上轉帳地址時不僅發現這些地址存在通過其它交易平臺大額提幣行為,而且對Kraken的測試行為時間早在更久之前就已展開。
加密數據安全平臺CyversAlerts向@tayvano提供了事件相關的三個提款地址:
0x3c6a231b1ffe2ac29ad9c7e392c8302955a97bb3 0xdc6af6b6fd88075d55ff3c4f2984630c0ea776bc 0xc603d23fcb3c1a7d1f27861aa5091ffa56d3a599
以上均為明顯的鏈上大額提款記錄,@tayvano同時指出,這些地址提取大量資金後通過即時加密貨幣交換平臺ChangeNOW 進行了多次最大值交換。
@tayvano表示她經常看到這種模式,並且將它當做調查混亂密鑰洩露時區分受害者地址和黑客地址的一種方法。
@tayvano還發現0x3c6a231b1ffe2ac29ad9c7e392c8302955a97bb3 將15.4萬枚MATIC轉到了ChangeNOW上。
而Coinbase內部人員@jconorgrogan稱相關人員的地址將1200個MATIC轉到了Tornadocash,意在通過混幣器兌換資金。
此外,@tayvano還通過比對Certik安全人員存款地址測試時間時發現,Certik早在6月5日之前就已在進行此類行為。其表示,如果我們回到certik 發布的時間線,所謂的「第 1 輪」「第 2 輪」提款實際上並不是第 1 輪和第 2 輪,更像是第 7 輪。
對此,安全公司Cyvers的首席技術官Meir Dolev也對CertiK發現Kraken漏洞的時間發出了質疑,並稱CertiK疑似對OKX和Coinbase做過相同測試。
Meir Dolev援引了@tayvano分享的內容,即:0x1d…7ac9地址於5月24日在Base網絡上創建了合約0x45…CeA9,並進行了相關活動,而Certik測試地址也曾使用過該未知地址相同的籤名哈希。
疑似這個在Base上部署的合約( 0x45…CeA9)也在對OKX和Coinbase做過相同的測試,以確定這兩個交易所是否有Kraken相同的漏洞。
而另一位社區成員@0xBoboShanti也表示,之前 Certik 安全研究員在推特上發布的一個地址早在 5 月 27 日就在進行探測和測試。這已經與 Certik 的事件時間表相矛盾了。Certik tornado txs之一資助了一個錢包,該錢包最近一直與同一份合約進行交互。
以太坊錢包管理器MyCrypto的執行長兼創始人Taylor Monahan也分析了事件的可能性原因,其表示CertiK應該是害怕Kraken的律師、對其聲譽的損害,以及這場風波可能如何影響CertiK的內部文化。
她還指出,由於CertiK審計的幾個加密項目過去曾遭遇攻擊,因此網上開始流傳關於此前存在內部人員操作可能性的猜測。
不過,也有行業知名KOL提出了不同看法,認為CertiK不一定就是真黑客,並且他們對事件進行了可能性猜測。加密研究員@BoxMrChen表示能理解CertiK,其不一定是黑客,而是可能想要更多賞金。他更希望是知道Kraken願意支付CertiK多少白帽賞金,看看到底是CertiK貪婪狡詐,還是Kraken一毛不拔。
CryptoInsight 研究員Haotian表示Certik確實發現並向Kraken報告了漏洞,說明起心動念並非「黑客」行為,標記為Certik工作人員KYC的帳戶只新增了4美元,說明漏洞測試一開始在合理界限內,所以雙方在漏洞賞金和修復漏洞分工協作上估計沒談攏。
小結
對於加密市場這個「黑暗深林」來說,黑客攻擊事件層出不窮、不足為奇,但打著「白帽」旗號行黑客行為無疑容易招致非議。儘管CertiK竭力澄清自身「正義」的幫助項目方行為,但對於上述社區成員的質疑,CertiK確實需要給出合理的解釋。
不過,也如CertiK所說,Kraken 的深度防禦系統未能檢測到如此多的測試交易,確實可能導致更大的風險損失。雙方應攜手合作,共同面對風險,保障Web3的未來。
