在 Kraken CertiK 事件中,安全公司 CertiK 声称对某些 Kraken 账户(非客户)进行了白帽操作,盗取了近 300 万美元(Kraken 声称)。Kraken 交易所声称被盗取的总金额没有返还给它,而 CertiK 则声称已经按照他们的记录返还了所有资金。
6 月 20 日,CertiK 在 X 上提供了最新情况,声称他们已经归还了 734.19215 以太币(ETH)、29001 USDT 和 1021.1 Monero(XMR),而 Kraken 要求归还 155818.4468 Polygon(MATIC)、907400.1803 USDT、475.5557871 ETH 和 1089.794737 XMR。
Kraken 声称存在漏洞,Certik 称是白帽操作
Kraken-CertiK 的传奇故事始于 6 月 9 日,当时 Kraken 声称他们收到了一个所谓的安全研究员发出的漏洞悬赏计划警报。警报强调了 Kraken 系统中的一个漏洞,该漏洞允许用户夸大自己的账户余额。这家加密货币交易所急忙修补了这个漏洞,并发现有三个账户利用了这个漏洞,从 Kraken 账户中取出了 300 万美元。
Kraken 在研究中发现,这三个账户中有一个通过了 "了解你的客户"(KYC)验证,该账户利用该漏洞在其账户中记入了 4 美元。
Kraken 首席安全官尼克-珀尔科(Nick Percoco)说,这本来足以证明该漏洞并要求赏金,但据称该账户随后在几天内与另外两个账户分享了该漏洞,这三个账户总共从该交易所攫取了 300 万美元。
当加密货币交易所要求这位所谓的 "安全研究员 "在提供所需的链上证明后归还资金并领取赏金时,据称这位白帽黑客拒绝了交易所的要求,并首先索要了赏金。虽然 Kraken 没有透露 "白帽子 "漏洞背后的安全公司名称,但 CertiK 透露他们就是 Kraken 漏洞背后的安全公司。
CertiK 声称,他们发现漏洞的员工受到威胁,要他们归还盗取的资金,但没有提供任何钱包地址。CertiK 的联合创始人 Ronghui Gu 告诉 Cointelegraph:
"会议期间达成的口头共识事后并未得到证实。最终,他们公开指责我们盗窃,甚至直接威胁我们的员工,这是完全不能接受的。"
据报道,CertIK将被盗金额发送到加密货币混合服务Tornado Cash,以避免被加密货币交易所冻结。此举引发了加密货币社区的大量批评,质疑CertiK "白帽子 "行动背后的动机。
加密货币社区指责 CertiK
加密货币社区对 CertiK 研究人员为何转移价值数百万美元的资金提出质疑,因为单笔交易就能证明该漏洞。还有人提醒他们,龙卷风现金是外国资产控制办公室(Office of Foreign Assets Control OFAC)制裁的工具,使用它可能会给安全公司带来法律麻烦。还有人质疑他们是否计划归还资金,以及为什么要将资金发送给一个受外国资产管制处制裁的加密货币混合器。
在这个问题上,大多数加密货币社区都站在 Kraken 一边,斥责 CertiK 的无情行为。许多人指责他们 "偷窃",然后勒索 Kraken 的赏金。
Kraken 告诉 Cointelegraph,他们正在就这一情况与执法机构联系。