Kraken指控CertiK在漏洞奖励计划冲突中窃取300万美元

Kraken指责CertiK利用一个关键漏洞提取了300万美元，而CertiK否认有不当行为，强调了Kraken的安全漏洞。

在6月19日的一次安全更新中，Kraken的首席安全官Nick Percoco指控CertiK从一次白帽虫赏金行动中窃取了300万美元。这场纠纷是在一名安全研究人员向Kraken报告了一个关键漏洞后发生的，这导致了两家公司之间的激烈交锋。

Kraken安全更新：2024年6月9日，我们收到一名安全研究人员发出的Bug Bounty程序警报。最初没有透露任何细节，但他们的电子邮件声称发现了一个“极其关键”的漏洞，使他们能够在我们的平台上人为地夸大自己的平衡。——Nick Percoco（@c7five）2024年6月19日

漏洞发现和利用

2024年6月9日，Kraken收到了一个关于允许人为平衡膨胀的关键漏洞的警报。尽管频繁出现虚假报道，但Kraken的团队还是认真对待这一问题，并迅速发现了一个孤立的漏洞。

该漏洞允许恶意存款在未完全完成的情况下入账，尽管据称没有客户资产面临风险，但仍存在风险。Kraken的团队在1小时47分钟内对问题进行了分流并缓解了问题。

进一步调查显示，有三个账户利用了该漏洞，其中一个与自称的安全研究人员有关。研究人员没有遵循协议，而是向其他人披露了这个漏洞，导致近300万美元被欺诈性地从克拉肯的金库中提取。

Kraken要求归还资金并全面披露活动，但研究人员拒绝了，转而要求获得投机奖励。有趣的是，这些研究人员隶属于CertiK。

相反，“安全研究人员”向他们合作的另外两个人披露了这个漏洞，这两个人欺诈性地产生了更大的金额。他们最终从他们的Kraken账户中提取了近300万美元。这是来自Kraken的国债，而不是其他客户资产。——Nick Percoco（@c7five）2024年6月19日

CertiK的回应和指控

CertiK通过披露他们的调查结果来回应Kraken的指控。他们强调了Kraken存款系统的关键漏洞，这些漏洞可能导致巨大的财务损失。CertiK的测试表明，在不触发Kraken风险控制的情况下，伪造存款和提款是可能的。

CertiK最近在@krakenfx交易所发现了一系列关键漏洞，这些漏洞可能导致数亿美元的损失。从@krakenfx存款系统中的一个发现开始，它可能无法区分不同的内部…pic.twitter.com/JZkMXj2ZCD——CertiK（@CertiK）2024年6月19日

CertiK指责Kraken威胁其员工在不合理的时间范围内偿还不匹配的加密货币，而没有提供还款地址。

为了保护Web3社区，CertiK决定公开分享他们的发现，并宣布将资金转移到Kraken可以访问的账户。CertiK强调，他们的测试没有涉及真正的用户资产。

行业反应和持续争议

区块链专家Adam Cochran对这一情况进行了权衡，批评了CertiK的行为，并将其定性为犯罪。他推测了一个涉及CertiK和朝鲜实体的潜在阴谋，声称他们进行了廉价的审计，并允许随后的漏洞利用。

Cochran还指出，CertiK通过美国批准的Tornado Cash转移资金，质疑其作为一家在美国注册的公司的道德操守。

我的天呐Certik刚刚承认是从Kraken偷东西的安全公司，并试图勒索他们更多的付款。考虑到Certik审计被黑客入侵的频率，现在这种垃圾，它们仍然存在，这太疯狂了。右下方的罪犯。https://t.co/Ijpv3x5Pxc——亚当·科克伦（adamscochran.eth）（@adamscochran）2024年6月19日

与此同时，X上的一位评论者为CertiK辩护，指出该公司已经进行了广泛的测试，包括对Kraken的内部警报系统的测试，并偿还了资金。这位评论者建议，Kraken应该感谢他们收到的免费安全渗透测试。