在一场备受瞩目的漏洞赏金漏洞风波之后,加密货币交易所 Kraken 追回了丢失的资金。
Kraken 证实已归还价值近 300 万美元的被盗数字资产,从而结束了始于 6 月 9 日的 Kraken-Certik 事件。
Kraken 首席安全官尼古拉斯-珀尔科(Nicholas Percoco)在 6 月 20 日的 X 帖子中确认,除去交易费用,这笔资金已被追回:
"更新:我们现在可以确认资金已经返还(扣除少量费用损失)"。
Kraken 的首席安全官于 6 月 19 日首次公布了价值 300 万美元的失踪资金,当时他声称,一名 "安全研究员 "在发现并分享了一个现有漏洞后,恶意从金库中提取了这些资金。
Kraken 声称遭到了这名安全研究员的敲诈,他拒绝归还资金,要求获得奖励并与交易所的业务开发团队通话。
CertiK 的说法
在 Kraken 发布资金丢失的帖子后不久,区块链安全公司 CertiK 公开表明自己就是 Kraken 声称偷走 300 万美元数字资产的 "安全研究员"。
CertiK 在 6 月 19 日发布的 X 帖子中称,它已向 Kraken 通报了一个漏洞,该漏洞允许它从交易所账户中移除数百万美元。Certik 还声称受到了交易所团队的威胁:
"在识别和修复漏洞的初步成功转换之后,Kraken 的安全操作团队威胁 CertiK 的个别员工在不合理的时间内偿还错误的加密货币,甚至不提供偿还地址。
该安全公司发布了一份事件时间表,从 6 月 5 日发现漏洞开始,到 6 月 18 日 Kraken 声称威胁一名 CertiK 员工结束。在给 Cointelegraph 的一份声明中,CertiK 表示计划将资金 "转移到 Kraken 能够访问的账户"。
为什么 CertiK 提取了近 300 万美元?
Kraken 的 CSO 最初表示,第一笔恶意转账价值仅为 4 美元,足以证明该漏洞并从 Karken 的赏金计划中领取 "可观的奖励"。
然而,后来被披露为 CertiK 的安全研究人员已经向他们的 Kraken 账户汇入了近 300 万美元。
CertiK 在归还 300 万美元后发表的一篇文章中说,为了测试交易所的极限,有必要投入数百万美元:
"我们想测试 Kraken 的保护和风险控制的极限。经过多天多次测试和价值近 300 万美元的加密货币后,没有触发任何警报,我们仍未找出极限。"
此外,CertiK 声称,它最初并没有要求赏金,但交易所提到了这一点:
"我们从未提及任何赏金请求。是 Kraken 首先向我们提到了他们的赏金,而我们回应说,赏金不是优先话题,我们希望确保问题得到解决。"
CertiK补充说,没有任何Kraken用户的资金受到威胁,因为被利用的资金是 "凭空铸造的"。