加密交易所Kraken指控CertiK利用一個重大漏洞從他們的系統中提取了300萬美元,而CertiK則否認有任何不當行為,並強調了Kraken的安全漏洞。
在6月19日的一次安全更新中,Kraken的首席安全官Nick Percoco指責CertiK從一個白帽子漏洞獎勵計劃中偷走了300萬美元。這場爭端源於一名安全研究人員向Kraken報告了一個重大漏洞,從而引發了這兩家公司之間的激烈爭論。
漏洞的發現和利用
2024年6月9日,Kraken收到一個警報,稱發現了一個關於人為餘額膨脹的重大漏洞。儘管經常有虛假報告,但Kraken的團隊對此表示了認真的態度,並迅速確定了一個孤立的漏洞。
該漏洞允許惡意存款被記入賬戶,而不需要完全完成,儘管據稱沒有客戶資產會受到風險。Kraken的團隊在1小時47分鐘內對這個問題進行了分析和緩解。
進一步的調查發現,有三個帳戶利用這個漏洞,其中一個與自我認定的安全研究人員有關。這名研究人員並沒有按照程序進行,而是向其他人透露了這個漏洞,結果從Kraken的資金庫中被欺詐性地提取了近300萬美元。
Kraken要求退還這筆資金並全面披露活動,但研究人員拒絕了,並要求一筆投機性的獎勵。有趣的是,這些研究人員與CertiK有關聯。
CertiK的回應和指責
CertiK對Kraken的指控作出了回應,並公開了他們的發現。他們強調了Kraken存款系統中的重大漏洞,可能導致巨大的金融損失。CertiK的測試顯示,即使不觸發Kraken的風險控制,也可以進行虛假存款和提款。
CertiK指責Kraken威脅其員工,在不合理的時間範圍內償還不匹配的加密資產,並未提供償還地址。
為了保護Web3社區,CertiK決定公開分享他們的發現並宣布將資金轉移到Kraken可以訪問的賬戶。CertiK強調他們的測試中並未涉及真實的用戶資產。
行業反應和持續爭議
區塊鏈專家Adam Cochran對此情況發表了評論,批評了CertiK的行為,並將其定性為犯罪行為。他推測存在一個涉及CertiK和朝鮮實體的陰謀,指控他們進行廉價的審計並允許隨後的利用。
Cochran還指出,CertiK通過受到美國制裁的Tornado Cash移動資金,質疑他們作為一家美國公司的道德。
與此同時,X的一名評論者站出來捍衛CertiK,指出該公司進行了廣泛的測試,包括對Kraken的內部警報系統進行測試,並償還了資金。評論者建議Kraken應該對他們收到的免費安全滲透測試表示感謝。
免責聲明:本內容僅供參考,不應視為財務建議。本文中表達的觀點可能包含作者的個人意見,不代表The Crypto Basic的觀點。讀者被鼓勵在做出任何投資決策之前進行全面的研究。The Crypto Basic對任何財務損失概不負責。