Kraken 稱 CertiK 在 “敲詐”,而 CertiK 稱員工收到 Kraken 威脅。
作者: jk
原創: Odaily 星球日報
美國當地時間 6 月 19 日,加密貨幣交易所 Kraken 和區塊鏈安全公司 CertiK 在社群媒體上就一系列嚴重的安全漏洞問題發生了公開對峙。
事件源於 Kraken 上一個被 CertiK 發現的漏洞:Kraken 首席安全官 Nick Percoco 在推特上披露,在其漏洞賞金計劃中收到了一份 “極其嚴重” 的漏洞報告,報告聲稱發現了一個可以人為增加帳戶餘額的漏洞。 CertiK 稱其為對 Kraken 交易所的一次安全測試,而 Kraken 認為 CertiK 在中間利用漏洞獲利。雙方各執一詞,爭執不下,形成大型吃瓜現場。
Kraken 的事件揭露
以下是 Kraken 首席安全長在 X 平台上發布的活動流程:
「2024 年 6 月 9 日,我們收到了一位安全研究員透過漏洞賞金計畫發來的警報。起初沒有具體訊息,但他們聲稱發現了一個「極其嚴重」的漏洞,可以讓他們在我們的平台上人為增加餘額。
我們每天都會收到一些自稱「安全研究員」的人發來的假漏洞報告。對於任何運行漏洞賞金計劃的人來說,這不是什麼新鮮事。然而,我們對此事非常重視,並迅速組建了一個跨職能團隊來調查這個問題。以下是我們的發現。
幾分鐘內,我們發現了一個孤立的漏洞。在特定情況下,這個漏洞允許惡意攻擊者在未完全完成存款的情況下,發動存款作業並在其帳戶中收到資金。
需要明確的是,客戶的資產從未面臨風險。然而,惡意攻擊者可以在一段時間內有效地在他們的 Kraken 帳戶中產生資產。
我們將這項漏洞評估為「關鍵」(Critical),並在一小時內(確切地說是 47 分鐘)由我們的專家團隊緩解了這個問題。幾小時內,該問題被完全修復,並且將不會再次發生。
我們的團隊發現,這個漏洞源自於最近的用戶體驗(UX)變化,該變化會在客戶資產結算前立即為客戶帳戶記帳——並允許客戶即時交易加密貨幣市場。此 UX 變更未針對此特定攻擊向量進行充分測試。
在修補風險後,我們進行了徹底調查,迅速發現有三個帳戶在幾天內利用了這個漏洞。深入調查後,我們注意到其中一個帳戶通過身份認證(KYC)關聯到一位自稱為安全研究員的個人。
該個人在我們的資金系統中發現了這個漏洞,並利用它將其帳戶餘額增加了 4 美元。這足以證明漏洞的存在,向我們的團隊提交漏洞賞金報告,並根據我們的計畫條款獲得相當可觀的獎勵。
然而,這位「安全研究員」將這個漏洞透露給了與他合作的另外兩個人,他們利用這個漏洞欺詐性地產生了更大金額的資金。他們最終從他們的 Kraken 帳戶中提取了近 300 萬美元。這些資金來自 Kraken 的金庫,而非其他客戶的資產。
初步的漏洞賞金報告並未完全披露這些交易訊息,因此我們聯繫了安全研究員,確認一些細節,以便獎勵他們成功發現了我們平台上的安全漏洞。
隨後,我們要求他們提供活動的詳細說明,創建鏈上活動的概念驗證,並安排歸還他們提取的資金。這是任何漏洞賞金計畫的常見做法。這些安全研究員拒絕了。
相反,他們要求與他們的 BD 團隊(即他們的銷售代表)通話,並在我們提供一個假設的可能損失金額之前,不同意歸還任何資金。這不是白帽駭客行為,而是敲詐!
我們在 Kraken 設立漏洞賞金計畫已有近十年。該計劃由內部運行,並由社區中一些最聰明的人才全職負責。我們的計劃與許多其他計劃一樣,有明確的規則:
- 不要提取超過證明漏洞所需的範圍。
- 展示你的作品(即提供概念驗證)。
- 提取的任何東西必須立即歸還。
我們從未在與合法研究員的合作中遇到任何問題,我們總是積極回應。
為了透明起見,我們今天向業界披露了這個漏洞。我們被指責不合理和不專業,因為要求 “白帽黑客” 歸還他們從我們這裡偷走的東西。這太難以置信了。
作為安全研究員,您的「駭客」許可證是透過遵循您參與的漏洞賞金計畫的簡單規則來啟用的。忽視這些規則並敲詐公司會取消您的「駭客」許可。這會使您和您的公司成為罪犯。
我們不會透露這家研究公司的名字,因為他們的行為不值得被認可。我們將此視為刑事案件,並與執法機構協調處理。我們感謝這一問題的報告,但僅此而已。
我們的漏洞賞金計畫繼續在 Kraken 的使命中發揮重要作用,並且是我們增強加密生態系統整體安全努力的關鍵部分。我們期待與未來的誠信行為者合作,並將此視為一個獨立的事件。」
CertiK 回應
儘管 Kraken 未對安全研究員所屬的公司發布具體名稱,幾小時之後,CertiK 在 X 平台上發布了對此事件的回應。以下是 CertiK 官方 X 平台發布的回應:
「CertiK 最近在 Kraken 交易所中發現了一系列嚴重漏洞,這些漏洞可能導致數億美元的損失。
從 Kraken 的存款系統發現問題開始,該系統可能無法區分不同的內部轉帳狀態,我們進行了徹底調查,重點關注以下三個問題:
1. 惡意行為者能否偽造存款交易到 Kraken 帳戶?
2. 惡意行為者能否提取偽造的資金?
3. 大額提款請求可能觸發哪些風險控制和資產保護?
根據我們的測試結果:Kraken 交易所未通過所有這些測試,這表明 Kraken 的深度防禦系統在多個方面被破壞。數百萬美元可以存入任何 Kraken 帳戶。超過 100 萬美元的偽造加密貨幣可以從帳戶中提取並轉換為有效加密貨幣。更糟的是,在多天的測試期間,沒有觸發任何警報。 Kraken 在我們正式報告事件後才回應並鎖定了測試帳戶。
發現後,我們通知了 Kraken,其安全團隊將其分類為「關鍵」級別,這是 Kraken 最嚴重的安全事件分類級別。
在最初成功識別和修復漏洞後,Kraken 的安全營運團隊威脅個別 CertiK 員工在不合理的時間內償還不匹配數量的加密貨幣,甚至沒有提供償還地址。
本著透明的精神以及我們對 Web3 社群的承諾,我們公開這些資訊以保護所有使用者的安全。我們敦促 Kraken 停止對白帽駭客的任何威脅。
我們共同面對風險,保護 Web3 的未來。」
之後,CertiK 披露了全部的時間軸和存款地址。
CertiK 公佈的時間軸。資料來源:CertiK 官方 X
同時,CertiK 也表示,由於 Kraken 未提供償還地址且要求的償還金額完全不匹配,我們根據記錄將現有的資金轉移到 Kraken 能夠存取的帳戶。
其他消息與後續評論
從背景資訊來看,Kraken 的漏洞賞金計畫的獎勵金額確實可觀,類似於本事件的最高安全事件等級的賞金在 100-150 萬美元之間。這與 Kraken 聲稱的三百萬美元數額差額不小,因此,有些人在評論區稱 “我看黑客就不應該還 “,另一些人則回复 “你是想拿著一百萬的賞金還是拿著三百萬的非法所得去蹲大牢?
Kraken 漏洞賞金計畫的獎金。來源:Kraken
鏈上偵探 ZachXBT 說:這個故事越往後越離譜了(Story only gets more wild as it goes on)。
還有一位推特用戶 @trading_axe 另闢蹊徑地說:「我覺得(CertiK)搞砸了…沒有說他們這是偷竊,但是一個小偷會拿走他們能拿的一切東西然後逃離這裡。我覺得他們搞砸之處在於只拿了三百萬美元;如果他們用這個 bug 偷走了一個億以上,那麼再還回去,就會顯得是白帽了(言下之意就是,那樣才會讓他們顯得像個救世主/擁有主動權)。
免責聲明:作為區塊鏈資訊平台,本站所發布文章僅代表作者及來賓個人觀點,與 Web3Caff 立場無關。文章內的資訊僅供參考,均不構成任何投資建議及要約,並請您遵守所在國家或地區的相關法律法規。
