區塊鏈安全機構 CertiK 竟變駭客?近期 CertiK 公開表示發現加密貨幣交易所 Kraken 的一系列嚴重漏洞。然而,Kraken 經過追踪評估,將 CertiK 此舉判定為刑事案件。
(前情提要:CertiK安全分析》Telegram Bot專案Unibot是如何被攻擊的? )
(背景補充:審計公司CertiK態度反轉!不扛責Merlin遭駭180萬美元>願賠資金損失)
美國知名加密貨幣交易所 Kraken 近日透露,一名自稱安全研究人員的駭客利用其平台上的一個嚴重漏洞,竊取了價值 300 萬美元的數位資產,並對 Kraken 進行「敲詐」。這位駭客在 6 月 9 日報告了這個漏洞,但卻藉此漏洞從 Kraken 的財務中提取資金。
Kraken 的安全長 Nick Percoco 表示,這名研究人員及其關聯的兩個可疑帳戶利用漏洞提取了超過 300 萬美元的資金。Percoco 指出,該研究人員在竊取資金後,要求 Kraken 給予白帽駭客獎勵,才同意歸還這些資金。他強調,這種行為並非白帽駭客行為,而是純粹的敲詐。
最終 Kraken 經過追踪評估,確定此次為刑事案件,並正與執法部門合作,試圖追回這些資金。
Kraken Security Update:
On June 9 2024, we received a Bug Bounty program alert from a security researcher. No specifics were initially disclosed, but their email claimed to find an “extremely critical” bug that allowed them to artificially inflate their balance on our platform.
— Nick Percoco (@c7five) June 19, 2024
CertiK抱屈:白帽駭客被Kraken威脅!
區塊鏈安全機構 CertiK 替眾多加密項目、企業提供智能合約審計、資安服務。CertiK 今日直接在 X 平台承認,指出自己就是發現 Kraken 一系列嚴重漏洞的駭客。根據 CertiK 的調查,Kraken 的存款系統無法區分不同的內部轉帳狀態,存在惡意行為者可以偽造存款交易並提取資金。
CertiK 表示,在測試期間,數百萬美元的偽造資金可以被存入 Kraken 帳戶,並成功提取超過 100 萬美元的偽造加密貨幣轉化為有效資產,且 Kraken 系統未觸發任何警報。
在接到 CertiK 的通知後,Kraken 將這些漏洞歸類為最高等級「嚴重(Critical)」,並進行了初步修復。然而, CertiK 指控,Kraken 的安全團隊隨後威脅 CertiK 員工,要求在不合理的時間內償還金額不匹配的加密貨幣,且未提供還款地址。
最終 CertiK 決定公開此事,呼籲 Kraken 停止對白帽黑客的任何威脅。CertiK 強調,透明和合作是解決此類安全問題的關鍵,並敦促 Kraken 在解決漏洞問題的同時,也請尊重安全研究人員的工作。
CertiK recently identified a series of critical vulnerabilities in @krakenfx exchange which could potentially lead to hundreds of millions of dollars in losses.
Starting from a finding in @krakenfx's deposit system where it may fail to differentiate between different internal… pic.twitter.com/JZkMXj2ZCD
— CertiK (@CertiK) June 19, 2024
鏈上偵探:白帽測試把資金轉進混幣器?
隨著越深入的追蹤,有多位區塊鏈專家、偵探揭露,早在一個月前,就已經有相同的哈希簽名對 Kraken 進行類似的提款行為,這個時間點與 CertiK 公布測試的時間不同。CertiK 看似一切出於好意的善舉,但真相似乎不是如此…
值得注意的是,鏈上偵探 @0xBoboShanti 更進一步指出,該測試地址的資金來源於 CertiK 的一個 Tornado Cash 交易(Tornado tx),該錢包最近一直在與相同的合約進行交互。
An address previously tweeted by a Certik security researcher was probing and testing as early as May 27th. This already contradicts Certik's timeline of events.
One of the Certik tornado txs funded a wallet that has been interacting with the same contract as recently as TODAY -… https://t.co/rSbQLkyfZv pic.twitter.com/TBSfPtjp5l
— 0xBoboShanti (@0xBoboShanti) June 19, 2024
這些新的證據使得 CertiK 在事件中的角色更加可疑,作為一個安全機構,CertiK 將資金轉移至被美國封殺的混幣器 Tornado Cash,並且其行為與其公開的時間表不符。雖然此事件真相尚待確認,且演變為各說各話的羅生門,但社群的風向已經大大不利 CertiK…
📍相關報導📍
美國稅局勝利!法院責令 Kraken 交出「年交易額 2 萬鎂以上」帳戶資訊
