白帽黑客还是敲诈勒索Kraken 与 CertiK 对峙上了

撰文：Yangz，Techub News

昨日晚间，Kraken 首席安全官 Nick Percoco 发文披露，Kraken 团队于 6 月 9 日收到漏洞赏金报告，称发现了一个「极其严重」的漏洞，允许攻击者在未完成存款的情况下人为增加账户余额。虽然 Kraken 团队在数小时时内修复了漏洞，但在深入调查的过程中发现该漏洞被三个账户利用。其中一个账户的 KYC 信息自称为「安全研究员」，并利用漏洞为其账户存入了 4 美元的加密货币，然后提交了漏洞赏金报告。但更为关键的是，该「研究员」又将漏洞透露给了与他们共事的另外两个人，导致 Kranken 财库近 300 万美元资金被提走。

Percoco 表示，由于最初的报告并没有完全披露漏洞细节，因此团队与上述账户进行了联系，计划按照一般漏洞赏金流程安排资金退还，并奖励其「白帽行为」。但出乎意料的是，「安全研究员」要求与 Kraken 业务开发团队通话，称除非按照该漏洞可能造成的损失金额进行奖赏，否则不会退还任何资金。

就这样，「白帽黑客」瞬间成了「敲诈勒索」，Percoco 也决定不披露「这家研究公司」的名头并将此事视为刑事案件，计划与执法机构进行协调处理。

本以为事情到这就暂告一段落了，但令人意外的是，安全公司 CertiK 在 Percoco 发文 3 个小时后自动站了出来，称是其发现了 Kraken 中的安全漏洞，且该漏洞可能会导致数亿美元的损失。

CertiK 表示，通过测试，其发现了 Kraken 的三个主要问题，且在为期数日的测试期间，均未触发任何 Kraken 警报。CertiK 表示，其在正式报告漏洞后，Kraken 几日才做出回应。而且，在漏洞修复后，Kraken 安全运营团队还威胁 CertiK 个别员工在不合理的时间内偿还不匹配数量的加密货币，甚至连偿还地址都未提供。

一时间，对峙双方各执一词，Kraken 将 CertiK 的行为视为「犯罪」，而 CertiK 则要求 Kraken「停止对白帽黑客的任何威胁」。

对于此事，CT 上议论纷纷，但风评基本偏向于指责 CertiK。尤其是 CertiK 为何要进行持续数日的测试再向 Kraken 报告漏洞令人疑惑。面对该质疑，CertiK 的回应是「真正的问题应该是 Kraken 的深度防御系统为何未能检测到如此多的测试交易。」

而随着事件发展，更多细节被网友们扒出。@lilbagscientist 发推称， Certik 其实早在 5 月 27 日就进行测试了。而据安全公司 Cyvers 首席技术官 Meir Dolev 观察，CertiK 「曾对 OKX 和 Coinbase 做过类似测试，以确定这两个交易所是否有 Kraken 相同的漏洞」。此外，Certik 相关地址在此期间还向 Tornado 与 ChangeNOW 发送了数笔资产，不免让人疑惑。Coinbase 产品主管 Conor Grogan 在 CertiK 评论区写道，「你们知道 Tornado Cash 受到 OFAC 制裁吧？而且你们的注册地是在美国，对吧？」

另外，作为行业内公认的顶级白帽黑客，Paradigm 研究合伙人 Samczsun 转发了 Certik 此前的融资新闻（2022 年 4 月，CertiK 完成 8800 万美元融资，Insight Partners、Tiger Global 和 Advent International 领投，参投方包括高盛、 红杉和 Lightspeed Venture 等）调侃道，「我向那些必须解释为什么其投资的公司黑进了一家美国交易所，盗取了 300 万美元，并通过 OFAC 封杀的协议进行洗钱的投资合伙人致以哀思和祈祷。」

与铺天盖地的指责声相比，反观为 CertiK 发声的确实不多，但有些看法值得我们思考。@trading_axe 在 CertiK 的评论区回复道，「如果你想盗窃资产，为什么要满足于 300 万美元？你应该拿走一切，然后逃命......只黑 300 万，然后被迫归还，只会显得很傻。」的确，如果 CertiK 只为这 300 万美元实施「盗窃」未免太过愚蠢。

而 @BoxMrChen 则以其白帽的自身经历，称对 CertiK 安全研究员的行为表示理解。@BoxMrChen 表示，漏洞赏金背后其实大有文章。有的项目方完全可以以「漏洞提交重复」为由拒绝向白帽黑客提供赏金，或者故意降低漏洞的风险等级，减少赏金的数量。此外，即使项目方慷慨的提供了数万美元的代币赏金，白帽黑客也要等流程审批，往往数个月过去了，代币都跌了 90% 了，赏金还在审批。@BoxMrChen 猜测，CertiK 安全研究员此举只是想等 Kraken 风控发现然后与之谈判。只是 5 天时间里，Kraken 好像没有任何反应，才开始提交漏洞报告。

@BoxMrChen 总结称，「CertiK 做的确实具有争议，但所谓的清高和正义，在这个圈子里又值得多少，比起这些，我更希望是知道 Kraken 愿意支付 CertiK 多少白帽赏金，看看到底是 CertiK 贪贪婪狡诈，还是 Kraken 一毛不拔。」

目前，CertiK 发布公告称，已退还所有资金，且此次事件不涉及真实用户资金损失。 CertiK 表示，其之所以进行多次大规模测试是因为想测试 Kraken 的保护和风险控制的极限。但经过多天、近三百万加密货币的多次测试后，仍未触发任何警报。此外，CertiK 称并未参与 Kraken 的悬赏计划，只是通过推特、linkedin 联系了 Kraken 官方和 CSO Nick，最后通过电子邮件发送了详细报告。而且，「团队也从未提过任何悬赏要求。」

至此，本次事件暂告一个段落，只是将部分资产转入 Tornado 与 ChangeNOW 一事，CertiK 并未回应。而对于 CertiK 已归还的资产，Kraken 也暂未致评。

究竟是谁撒了谎？只有 CertiK 和 Kraken 自己知道。目前所有信息都只是猜测，后续会不会有实锤，比如聊天记录，也不得而知。就目前 CertiK 已归还资金的情况，也许，这事儿最后会以所谓的「和解」不了了之。