CertiK：白帽子还是黑绵羊？

加密货币领域的知名安全公司CertiK本周陷入了一场重大争议。

这种情况始于CertiK据称在主要加密货币交易所Kraken发现了一系列“关键漏洞”。该公司表示，Kraken的存款系统“可能无法区分不同的内部转账状态”，并进行了一系列测试，但都失败了。

该公司在一条推文中表示：“真正的问题应该是，为什么Kraken的深度防御系统未能检测到这么多测试交易。这确实是我们正在测试的。你经常听到一个薄弱的交易所对安全漏洞发现的反应，吹嘘他们强大的风险控制和深度防御系统（他们声称这将防止任何重大损失）。CertiK对Kraken进行了测试，结果失败得很惨。”该公司补充道：“发现后，我们通知了Kraken，其安全团队将其归类为关键级别：Kraken最严重的级别。”

CertiK最近在@krakenfx交易所发现了一系列关键漏洞，这些漏洞可能导致数亿美元的损失。从@krakenfx存款系统中的一个发现开始，它可能无法区分不同的内部…pic.twitter.com/JZkMXj2ZCD——CertiK（@CertiK）2024年6月19日

据报道，CertiK没有遵循负责任的披露程序，即通知受影响方并合作修复安全漏洞，而是利用该漏洞将价值300万美元的加密货币从Kraken的金库中转移出去。

随后发生的一系列事件给CertiK的声誉蒙上了一层乌云。CertiK没有私下通知Kraken并寻求解决方案，而是要求悬赏“安全”归还被盗资金。这种公众施压策略升级为一场混乱的推特口水战，CertiK似乎通过一系列被删除的推文承认了利用和勒索的企图。

Kraken安全更新：2024年6月9日，我们收到一名安全研究人员发出的Bug Bounty程序警报。最初没有透露任何细节，但他们的电子邮件声称发现了一个“极其关键”的漏洞，使他们能够在我们的平台上人为地夸大自己的平衡。——Nick Percoco（@c7five）2024年6月19日

随着情况越来越公开，并面临潜在的法律后果或Kraken的追回企图，CertiK采取了进一步令人担忧的措施。他们开始通过Tornado.cash转移被盗资金，这是一种加密货币混合服务，旨在混淆交易痕迹。这一举动表明，有人试图清洗被盗资金，使其无法追踪，这种策略通常与恶意行为者有关，而不是与信誉良好的安全公司有关。

CertiK的辩护：白帽流氓？

CertiK试图通过声称自己是“白帽黑客”来为自己的行为辩护。白帽黑客是道德安全研究人员，他们识别漏洞并负责任地将其披露给受影响的一方，使他们能够在漏洞被恶意行为者利用之前修补漏洞。

然而，仔细观察CertiK的行为，就会发现与白帽黑客的预期标准存在重大差异。负责任的披露是白帽黑客攻击的基石，涉及合作。这意味着通知受影响的一方，提供有关漏洞的详细信息，并共同解决问题。相反，CertiK在任何披露之前都公开要求赎金，这种策略完全属于勒索，即刑事犯罪。

这一事件破坏了人们对CertiK服务的信任。如果他们愿意利用漏洞勒索公司谋取私利，有人能信任他们的安全审计吗？他们的行为为整个行业树立了一个危险的先例。

将事实与虚构分开

周三，CertiK和Kraken的首席安全官Nick Percoco都在推特/X上提供了最新消息，分别讲述了他们各自的故事。

Kraken安全更新：2024年6月9日，我们收到一名安全研究人员发出的Bug Bounty程序警报。最初没有透露任何细节，但他们的电子邮件声称发现了一个“极其关键”的漏洞，使他们能够在我们的平台上人为地夸大自己的平衡。——Nick Percoco（@c7five）2024年6月19日

双方一致认为，用户的资产没有直接风险。然而，Kraken澄清说，恶意攻击者可能在一段时间内在他们的账户中“打印”了虚假资金。

CertiK声称已经归还了所有东西，但金额不同。Kraken澄清说，CertiK最初淡化了他们的参与，只有一个人，据推测是CertiK的员工，提交了一份合法的少量漏洞奖励报告。随后，与CertiK相关的另外两个账户利用该漏洞提取了近300万美元。

CertiK承认进行了大规模测试，总计近300万美元。Kraken证实了这一漏洞，但强调这远远超出了证明漏洞的必要范围。

虽然CertiK声称已经通知了Kraken，但Kraken表示，最初的错误报告只提到了一个4美元的漏洞，并没有透露他们的全部活动范围。Kraken后来才发现更多的提款，在要求提供CertiK行为的完整说明时，CertiK拒绝了。

CertiK否认要求赏金，而Kraken则声称，根据漏洞赏金计划，他们是第一个提到赏金的人。然而，Kraken进一步强调，在讨论具体奖励金额之前，CertiK拒绝退还资金。

CertiK声称，他们报告了大量存款地址。Kraken承认这一点，但坚称CertiK淡化了他们的参与，并拒绝全力配合调查。

最近CertiK Kraken白帽业务的问答：1。有真正的用户损失资金吗没有。加密货币是凭空产生的，没有真正的Kraken用户的资产直接参与我们的研究活动。2.我们是否拒绝退还资金？不。在我们与…的沟通中——CertiK（@CertiK）2024年6月20日

我们该何去何从？CertiK Kraken的戏剧性事件远未结束，但更重要的是重建信任，这需要所有利益相关者的承诺。白帽子必须诚信行事，交易所必须优先考虑安全，监管应该不断发展，以应对加密世界的独特挑战。只有这样，加密货币行业才能在信任和安全的基础上向前发展。

在别处

事件

Coinfest亚洲

在本周的Blockcast上，我们将深入了解加密媒体领域以及Web3在东南亚的应用机会。我们的嘉宾Steven Suhadi是印尼加密网络（ICN）和Coinfest Asia的联合创始人，也是印尼区块链协会的董事会成员，他分享了他对建立成功的Web3媒体业务、驾驭当前市场趋势以及Web3项目在该地区的潜力的见解。我们还深入研究了ICN的出版物和即将推出的Coinfest版本。

准备好在亚洲最大的Web3音乐节上与来自2000多家公司的6000多人建立联系。立即使用Blockhead的10%折扣代码获取您的门票：CA24BLOCKHEAD