Certik在加密货币交易所Kraken发现了一个漏洞,并于上周扣押了该交易所300万美元的资金作为人质。随着区块链安全公司的其他客户站出来,他们的经验表明,判断失误可能不是一次性的。
这些危险信号让人们对太空中最知名的安保公司之一产生了质疑。Certik已从红杉资本、Coinbase Ventures和老虎管理资本等风险投资公司筹集了超过1.4亿美元。
据该公司称,他们已经审计了5021多个智能合约和685个“正式验证”的项目,根据Web3漏洞赏金公司ImmuneFi的数据,在这个领域,智能合约代码的专家分析至关重要,仅在过去两年就损失了57亿美元。
Certik没有回复The Defiant的多次置评请求。
三年前,Matías Barrios受雇于法国Stacktical公司,该公司在以太坊区块链上制造智能合约。Stacktical雇佣了Certik来审核他们的代码。
Barrios目前是区块链网络安全公司Halborn的攻击性安全工程师,也是Solana最重要的安全专家之一,据他说,Certik做了最低限度的工作,没有对他们的代码进行更深入的审查。
他告诉the Defiant:“他们没有进行三层审计,包括静态分析器、手动审查和测试,而是只进行了第一层。”。Barrios解释说,静态分析器只是对代码的自动、“非常基本”的审查。
Barrios声称这是Certik的作案手法。
他说:“他们通过一些自动工具对代码进行检查,提供一个非常简单的报告,然后就这样算了。”。根据巴里奥斯的说法,他们从未经过手动审查,他认为这是审查过程中最重要的部分。
综合数据支持巴里奥斯的印象。根据IntoTheBlock汇编的数据,Certik是一家审计公司,其客户在漏洞利用中损失最大,损失12.2亿美元。在与Certik相关的漏洞中,BNB链上的Venus交易所遭受了最大的损失,这是由于Venus代币的价格操纵,导致了大规模清算。
2023年4月,在经过Certik的审计后,黑客从基于Zksync的去中心化交易所Merlin中抽走了200万美元。
“作为CamelotDEX合同的核心审计师,我可以有95%的信心说,上述公司没有审计这些合同,”网络安全专家Charles Wang在梅林地毯事件后写道。“我们不可能错过这一变化。零。”
Merlin没有立即回复The Defiant的置评请求。
在Kraken漏洞发生后,加密保险公司Nexus Mutual的创始人Hugh Karp指出,如果协议经过CertiK的审计,Nexus Mutural的利益相关者通常会对其定价更高。
他写道:“感觉我现在可以大声说出来了。”
Kraken的首席安全官Nick Percoco于6月19日在X上呼吁,一家网络安全公司在其系统中发现了一个漏洞,并提交了一份漏洞赏金报告,但后来利用了该漏洞,金额高达300万美元。
“这不是白帽黑客,”珀科喊道,“这是敲诈勒索。”
几个小时后,Certik站出来作为公司,反驳了Kraken威胁员工的指控。Certik在一天后归还了资金。
Shapeschift的前CISO Michael Perklin说:“我从来不会雇佣这样的安保公司。勒索看起来很糟糕。”
加密货币社区的许多人很快就将Certik的行为称为邪恶,但一些网络安全专家予以反驳。
加密钱包ZenGo的联合创始人兼CTO Tal Be’ery表示,很难说发生了什么,但他指出缺乏问责制。
他告诉the Defiant:“从公司的角度来看,这可能更多的是检查和控制,而不是有预谋的邪恶行为。”。
Be’ery补充说,在过去与Certik合作后,他的公司有着良好的经验。“我想说他们是我在这个领域合作过的最专业的团队,”他说。
然而,Be’ery指出,他与Certik的互动纯粹是以研究为重点。
去年年底,化名开发者PopPunkOnChain声称,来自安全审计公司Certik网站的Discord链接连接到一个机器人和恶意软件,以耗尽钱包资产。
自Merlin漏洞以来,PopPunkOnChain一直对Certik持批评态度,称Certik的大多数审计都是针对只有几行代码的代币,甚至这也是因为交易所要求项目上市必须经过知名公司的审计。
“终止你与这些骗子的协议,”他说。
Barrios同意PopPunkOnChain关于Certik的指控,即处于起步阶段的项目需要公司的批准。
他沮丧地解释道:“它们被广泛使用是因为很多公司只需要‘Certik批准印章’。”。“在我们的领域,他们做得很糟糕,而且自动化,这让我们其他人(网络安全专家)看起来很糟糕,这是一种痛苦。”
Halborn的进攻安全工程师补充道,Certik有这么多合同是因为加密货币行业没有“适当的最佳实践”
加密货币托管机构Casa的首席技术官Jameson Lopp表示,Kraken事件“并不完全是光明正大的,因为你会对一个试图遵循最佳实践的专业白帽子抱有期望。”
“总的来说,这听起来很可疑,”洛普说。
欢迎阅读本文,今天我将为大家介绍易欧交易所 V6.4.50_欧意Coinbase 客户端的下载方式和使用方法。在当前数字货币交易市场中,易欧交易所已经成为了备受关注的知名平台之一。它以其安全可靠的交易环境和丰富的数字资产种类,吸引了越来越多的用户加入其中。对于想要下载并使用易欧交易所 V6.4.50_欧意Coinbase 的朋友们来说,本文将为您提供详细指导。 简便下载,畅享交易 首先,想要使用易
