加密货币领域的知名安全公司CertiK本周陷入了一场重大争议。
这种情况始于CertiK据称在主要加密货币交易所Kraken发现了一系列“关键漏洞”。该公司表示,Kraken的存款系统“可能无法区分不同的内部转账状态”,并进行了一系列测试,但都失败了。
该公司在一条推文中表示:“真正的问题应该是,为什么Kraken的深度防御系统未能检测到这么多测试交易。这确实是我们正在测试的。你经常听到一个薄弱的交易所对安全漏洞发现的反应,吹嘘他们强大的风险控制和深度防御系统(他们声称这将防止任何重大损失)。CertiK对Kraken进行了测试,结果失败得很惨。”该公司补充道:“发现后,我们通知了Kraken,其安全团队将其归类为关键级别:Kraken最严重的级别。”
CertiK最近在@krakenfx交易所发现了一系列关键漏洞,这些漏洞可能导致数亿美元的损失。从@krakenfx存款系统中的一个发现开始,它可能无法区分不同的内部…pic.twitter.com/JZkMXj2ZCD——CertiK(@CertiK)2024年6月19日据报道,CertiK没有遵循负责任的披露程序,即通知受影响方并合作修复安全漏洞,而是利用该漏洞将价值300万美元的加密货币从Kraken的金库中转移出去。
随后发生的一系列事件给CertiK的声誉蒙上了一层乌云。CertiK没有私下通知Kraken并寻求解决方案,而是要求悬赏“安全”归还被盗资金。这种公众施压策略升级为一场混乱的推特口水战,CertiK似乎通过一系列被删除的推文承认了利用和勒索的企图。
Kraken安全更新:2024年6月9日,我们收到一名安全研究人员发出的Bug Bounty程序警报。最初没有透露任何细节,但他们的电子邮件声称发现了一个“极其关键”的漏洞,使他们能够在我们的平台上人为地夸大自己的平衡。——Nick Percoco(@c7five)2024年6月19日随着情况越来越公开,并面临潜在的法律后果或Kraken的追回企图,CertiK采取了进一步令人担忧的措施。他们开始通过Tornado.cash转移被盗资金,这是一种加密货币混合服务,旨在混淆交易痕迹。这一举动表明,有人试图清洗被盗资金,使其无法追踪,这种策略通常与恶意行为者有关,而不是与信誉良好的安全公司有关。
CertiK试图通过声称自己是“白帽黑客”来为自己的行为辩护。白帽黑客是道德安全研究人员,他们识别漏洞并负责任地将其披露给受影响的一方,使他们能够在漏洞被恶意行为者利用之前修补漏洞。
然而,仔细观察CertiK的行为,就会发现与白帽黑客的预期标准存在重大差异。负责任的披露是白帽黑客攻击的基石,涉及合作。这意味着通知受影响的一方,提供有关漏洞的详细信息,并共同解决问题。相反,CertiK在任何披露之前都公开要求赎金,这种策略完全属于勒索,即刑事犯罪。
这一事件破坏了人们对CertiK服务的信任。如果他们愿意利用漏洞勒索公司谋取私利,有人能信任他们的安全审计吗?他们的行为为整个行业树立了一个危险的先例。
周三,CertiK和Kraken的首席安全官Nick Percoco都在推特/X上提供了最新消息,分别讲述了他们各自的故事。
Kraken安全更新:2024年6月9日,我们收到一名安全研究人员发出的Bug Bounty程序警报。最初没有透露任何细节,但他们的电子邮件声称发现了一个“极其关键”的漏洞,使他们能够在我们的平台上人为地夸大自己的平衡。——Nick Percoco(@c7five)2024年6月19日双方一致认为,用户的资产没有直接风险。然而,Kraken澄清说,恶意攻击者可能在一段时间内在他们的账户中“打印”了虚假资金。
CertiK声称已经归还了所有东西,但金额不同。Kraken澄清说,CertiK最初淡化了他们的参与,只有一个人,据推测是CertiK的员工,提交了一份合法的少量漏洞奖励报告。随后,与CertiK相关的另外两个账户利用该漏洞提取了近300万美元。
CertiK承认进行了大规模测试,总计近300万美元。Kraken证实了这一漏洞,但强调这远远超出了证明漏洞的必要范围。
虽然CertiK声称已经通知了Kraken,但Kraken表示,最初的错误报告只提到了一个4美元的漏洞,并没有透露他们的全部活动范围。Kraken后来才发现更多的提款,在要求提供CertiK行为的完整说明时,CertiK拒绝了。
CertiK否认要求赏金,而Kraken则声称,根据漏洞赏金计划,他们是第一个提到赏金的人。然而,Kraken进一步强调,在讨论具体奖励金额之前,CertiK拒绝退还资金。
CertiK声称,他们报告了大量存款地址。Kraken承认这一点,但坚称CertiK淡化了他们的参与,并拒绝全力配合调查。
最近CertiK Kraken白帽业务的问答:1。有真正的用户损失资金吗没有。加密货币是凭空产生的,没有真正的Kraken用户的资产直接参与我们的研究活动。2.我们是否拒绝退还资金?不。在我们与…的沟通中——CertiK(@CertiK)2024年6月20日我们该何去何从?CertiK Kraken的戏剧性事件远未结束,但更重要的是重建信任,这需要所有利益相关者的承诺。白帽子必须诚信行事,交易所必须优先考虑安全,监管应该不断发展,以应对加密世界的独特挑战。只有这样,加密货币行业才能在信任和安全的基础上向前发展。
在本周的Blockcast上,我们将深入了解加密媒体领域以及Web3在东南亚的应用机会。我们的嘉宾Steven Suhadi是印尼加密网络(ICN)和Coinfest Asia的联合创始人,也是印尼区块链协会的董事会成员,他分享了他对建立成功的Web3媒体业务、驾驭当前市场趋势以及Web3项目在该地区的潜力的见解。我们还深入研究了ICN的出版物和即将推出的Coinfest版本。
准备好在亚洲最大的Web3音乐节上与来自2000多家公司的6000多人建立联系。立即使用Blockhead的10%折扣代码获取您的门票:CA24BLOCKHEAD
