作者:Climber,
6月19日,Kraken首席安全官Nick Percoco表示某安全公司员工利用平台漏洞提超300万美元数字资产,该行为已属刑责中的敲诈勒索案件。
事件矛头直指区块链安全机构CertiK,对此该机构回复称此行为系白帽黑客动作,旨在帮助加密交易平台Kraken发现系统漏洞,预防更大损失。而因测试所产生的必要交易加密资产也已全部返还,但与Kraken要求总额不同。
对于两方争论,有观点倾向于CertiK可能存在监守自盗行径,但也有人认为说CertiK偷盗不合逻辑,黑帽白帽就在一念之间,问题焦点可能就在赏金数量上。
事件起因是6 月 9 日一位安全研究员向Kraken报告了一个安全漏洞,即可以通过伪造存款来提取真资产。事后,Kraken方面发现并修复漏洞的同时也注意到有相关账户地址已经利用该漏洞提取了大量资产。
于是在6月19日,Kraken 首席安全官 Nick Percoco 表示,与这位安全研究人员相关的两个账户已利用该漏洞提取了价值超过 300 万美元的数字资产。我们要求与对方所在公司通话,但对方不同意退还任何资金。
有鉴于此,Kraken方面认为,该行为已不是白帽黑客,而是敲诈勒索。
对于Kraken的言论以及社区舆论,CertiK方面多次表态,声称自己是清白的,并发文阐述了事件的来龙去脉。
CertiK称,此前已发现Kraken存在一系列严重漏洞,或将导致数亿美元损失。而Kraken存款系统无法有效区分不同的内部转账状态,存在恶意行为者伪造存款交易并提取伪造资金的风险。
测试期间,数百万美元的虚假资金可以被存入Kraken账户,并提取超过100万美元的伪造加密货币转化为有效资产,且Kraken系统未触发任何警报。CertiK通知Kraken后,Kraken将漏洞分类为“Critical”,并初步修复了问题。
不过,CertiK指出,Kraken安全团队随后威胁CertiK员工,要求在不合理的时间内偿还不匹配的加密货币,并未提供还款地址。为了保护用户安全,CertiK决定公开此事,呼吁Kraken停止对白帽黑客的任何威胁,强调通过合作应对风险。
此外,CertiK还表示其确认已返还所有持有的资金,但总金额与 Kraken 要求不一致。返还金额包括 734.19215 ETH、29,001 USDT 和 1021.1 XMR,而 Kraken 请求返还的金额为 155818.4468 MATIC、907400.1803 USDT、475.5557871 ETH 和 1089.794737 XMR。
而在最新的公开回复信中,CertiK回答了事件较为核心的10个问题,其中尤其提到他们没有参与Kraken赏金计划,并从最开始就已将所有测试存款地址公开。
Certik针对此次事件列出了完整的事件线,但包括安全研究员@tayvano在内的多位社区成员发出了质疑。
按照Certik的说法,他们测试和告知Kraken的时间是从6月5日开始的。然而@tayvano却通过研究链上转账地址时不仅发现这些地址存在通过其它交易平台大额提币行为,而且对Kraken的测试行为时间早在更久之前就已展开。
加密数据安全平台CyversAlerts向@tayvano提供了事件相关的三个提款地址:
0x3c6a231b1ffe2ac29ad9c7e392c8302955a97bb3 0xdc6af6b6fd88075d55ff3c4f2984630c0ea776bc 0xc603d23fcb3c1a7d1f27861aa5091ffa56d3a599
以上均为明显的链上大额提款记录,@tayvano同时指出,这些地址提取大量资金后通过即时加密货币交换平台ChangeNOW 进行了多次最大值交换。
@tayvano表示她经常看到这种模式,并且将它当做调查混乱密钥泄露时区分受害者地址和黑客地址的一种方法。
@tayvano还发现0x3c6a231b1ffe2ac29ad9c7e392c8302955a97bb3 将15.4万枚MATIC转到了ChangeNOW上。
而Coinbase内部人员@jconorgrogan称相关人员的地址将1200个MATIC转到了Tornadocash,意在通过混币器兑换资金。
此外,@tayvano还通过比对Certik安全人员存款地址测试时间时发现,Certik早在6月5日之前就已在进行此类行为。其表示,如果我们回到certik 发布的时间线,所谓的“第 1 轮”“第 2 轮”提款实际上并不是第 1 轮和第 2 轮,更像是第 7 轮。
对此,安全公司Cyvers的首席技术官Meir Dolev也对CertiK发现Kraken漏洞的时间发出了质疑,并称CertiK疑似对OKX和Coinbase做过相同测试。
Meir Dolev援引了@tayvano分享的内容,即:0x1d…7ac9地址于5月24日在Base网络上创建了合约0x45…CeA9,并进行了相关活动,而Certik测试地址也曾使用过该未知地址相同的签名哈希。
疑似这个在Base上部署的合约( 0x45…CeA9)也在对OKX和Coinbase做过相同的测试,以确定这两个交易所是否有Kraken相同的漏洞。
而另一位社区成员@0xBoboShanti也表示,之前 Certik 安全研究员在推特上发布的一个地址早在 5 月 27 日就在进行探测和测试。这已经与 Certik 的事件时间表相矛盾了。Certik tornado txs之一资助了一个钱包,该钱包最近一直与同一份合约进行交互。
以太坊钱包管理器MyCrypto的首席执行官兼创始人Taylor Monahan也分析了事件的可能性原因,其表示CertiK应该是害怕Kraken的律师、对其声誉的损害,以及这场风波可能如何影响CertiK的内部文化。
她还指出,由于CertiK审计的几个加密项目过去曾遭遇攻击,因此网上开始流传关于此前存在内部人员操作可能性的猜测。
不过,也有行业知名KOL提出了不同看法,认为CertiK不一定就是真黑客,并且他们对事件进行了可能性猜测。加密研究员@BoxMrChen表示能理解CertiK,其不一定是黑客,而是可能想要更多赏金。他更希望是知道Kraken愿意支付CertiK多少白帽赏金,看看到底是CertiK贪婪狡诈,还是Kraken一毛不拔。
CryptoInsight研究员Haotian表示Certik确实发现并向Kraken报告了漏洞,说明起心动念并非“黑客”行为,标记为Certik工作人员KYC的账户只新增了4美元,说明漏洞测试一开始在合理界限内,所以双方在漏洞赏金和修复漏洞分工协作上估计没谈拢。
对于加密市场这个“黑暗深林”来说,黑客攻击事件层出不穷、不足为奇,但打着“白帽”旗号行黑客行为无疑容易招致非议。尽管CertiK竭力澄清自身“正义”的帮助项目方行为,但对于上述社区成员的质疑,CertiK确实需要给出合理的解释。
不过,也如CertiK所说,Kraken 的深度防御系统未能检测到如此多的测试交易,确实可能导致更大的风险损失。双方应携手合作,共同面对风险,保障Web3的未来。
什么是BOS币/BOScoin?BOS币,全称为BOScoin,是一个基于区块链技术的数字货币。BOScoin的目标是构建一个可靠、安全、可持续性的金融生态系统,为全球用户提供去中心化的数字货币和金融应用服务。作为一种去中心化的数字货币,BOS币提供了安全、匿名、快捷的转账和支付功能。核心特点1. 可信机制(BFT):BOScoin采用了一种名为可信机制(BFT)的共识算法来确保网络的安全性和稳定
Ark币未来前景值得投资吗?Ark币作为一种新兴的加密货币,吸引了众多投资者的关注。然而,对于是否值得投资,我们需要深入分析其未来前景和市场情况。1. 技术领先Ark币采用了创新的技术架构,通过横向分散式区块链技术实现多个区块链间的互操作性。这种创新技术为Ark币赋予了更高的扩展性和灵活性,使其能够在未来的加密货币市场中占据一席之地。2. 应用广泛Ark币的目标是建立一个通用的区块链平台,为不同的
HB币/HeartBout是什么?HB币/HeartBout是一种基于区块链技术的加密货币。它是由俄罗斯的一家公司HeartBout Ltd所发行和管理的,旨在通过社交媒体平台的激励机制推动用户参与和创造价值。HB币的用途HB币在HeartBout社交媒体平台中拥有多种用途。首先,用户可以通过发布有价值的内容获得HB币作为奖励,这样可以激励用户积极参与平台。其次,HB币也可以用于购买平台上的各种虚
BITGOLD是什么币?BITGOLD是一种加密数字货币,它的目标是利用区块链技术提供一种稳定的价值储存方式。BITGOLD的设计理念是将黄金的特性与数字货币的便利性相结合,为用户提供一种抵御通胀和市场波动的方式。BITGOLD于2017年推出,并已经得到了一些加密货币投资者的关注。黄金与数字货币的结合BITGOLD的核心理念是将黄金的优越特性与数字货币的便利性相结合。黄金一直被视为一种可靠的价值
ATR币/authorize是什么?ATR币(Autorize)是一种基于区块链技术的数字货币,它的特点是去中心化、匿名性和安全性高。ATR币的创造和交易都使用了密码学的技术,确保了用户的财产和隐私的安全。下面将介绍ATR币和authorize的更多细节。什么是ATR币?ATR币是一种加密数字货币,它是基于区块链技术创建的。区块链是一种去中心化的数据库,具有公开透明和不可篡改的特点。ATR币的发行
6 BTS币是什么?
什么是BTS币?BTS币是一种加密数字货币,全名为BitShares币。它是由一家名为BitShares的公司发行,并且在区块链技术的支持下进行管理和交易。BTS币的目标是构建一个去中心化的交易和金融平台,为用户提供安全、快速和低成本的交易服务。区块链技术的支持区块链技术是一种分布式账本技术,通过将所有交易记录保存在多个节点上,确保了交易的安全性和透明性。BTS币利用区块链技术来记录和验证每一笔交
AR币发行价是多少?随着数字货币市场的兴起,越来越多的虚拟货币被推出和使用。其中,AR币作为一种新型的虚拟货币在最近引起了广泛的关注。但是,许多人都不清楚AR币的发行价是多少,这篇文章将为您详细解答。AR币的背景AR币是一种基于区块链技术的虚拟货币,它的全称是Augmented Reality Coin,中文名为增强现实币。增强现实是一种将数字信息与现实世界相结合的技术,AR币的目的是为了支持和促
AZU币/Azultec是什么?AZU币(Azultec)是一种基于区块链技术的数字货币,旨在改变全球能源行业的现状。Azultec利用区块链和人工智能技术,为全球的个人和企业提供绿色、高效的能源解决方案。该项目的目标是改善全球能源效率,同时降低能源成本和碳排放。智能数据中心Azultec的核心产品是其智能数据中心(azultec Cube),它是一个高效、节能的解决方案,旨在为加密货币挖矿提供高
9 BBK是什么币?
什么是BBK币?BBK币是一种数字货币,也被称为BianBaoKuai币。它是中国首个以区块链技术为基础的数字货币,为用户提供安全、高效、低成本的支付和转账方式。BBK币得到了越来越多人的认可和接受,正成为中国数字经济领域的重要一员。BBK币的特点1. 区块链技术支持:BBK币基于区块链技术,通过分布式账本确保交易记录的透明、公正和不可篡改性。2. 低成本支付:BBK币的交易费用非常低廉,尤其在跨
什么是CITY币/FunCity项目?CITY币(CITY Coin)是一种基于区块链技术的加密货币,与FunCity项目紧密相连。FunCity项目是一个旨在改善城市居民生活质量的综合性计划,它采用了CITY币作为数字货币奖励方式,以激励居民参与城市治理和生活方式的改变。城市治理与CITY币通过CITY币的引入,FunCity项目试图建立一种全新的城市治理模式。CITY币可用于居民对城市相关事务
