加密交易所Kraken指控CertiK利用一个重大漏洞从他们的系统中提取了300万美元,而CertiK则否认有任何不当行为,并强调了Kraken的安全漏洞。
在6月19日的一次安全更新中,Kraken的首席安全官Nick Percoco指责CertiK从一个白帽子漏洞奖励计划中偷走了300万美元。这场争端源于一名安全研究人员向Kraken报告了一个重大漏洞,从而引发了这两家公司之间的激烈争论。
漏洞的发现和利用
2024年6月9日,Kraken收到一个警报,称发现了一个关于人为余额膨胀的重大漏洞。尽管经常有虚假报告,但Kraken的团队对此表示了认真的态度,并迅速确定了一个孤立的漏洞。
该漏洞允许恶意存款被记入账户,而不需要完全完成,尽管据称没有客户资产会受到风险。 Kraken的团队在1小时47分钟内对这个问题进行了分析和缓解。
进一步的调查发现,有三个帐户利用这个漏洞,其中一个与自我认定的安全研究人员有关。这名研究人员并没有按照程序进行,而是向其他人透露了这个漏洞,结果从Kraken的资金库中被欺诈性地提取了近300万美元。
Kraken要求退还这笔资金并全面披露活动,但研究人员拒绝了,并要求一笔投机性的奖励。有趣的是,这些研究人员与CertiK有关联。
CertiK的回应和指责
CertiK对Kraken的指控作出了回应,并公开了他们的发现。他们强调了Kraken存款系统中的重大漏洞,可能导致巨大的金融损失。 CertiK的测试显示,即使不触发Kraken的风险控制,也可以进行虚假存款和提款。
CertiK指责Kraken威胁其员工,在不合理的时间范围内偿还不匹配的加密资产,并未提供偿还地址。
为了保护Web3社区,CertiK决定公开分享他们的发现并宣布将资金转移到Kraken可以访问的账户。 CertiK强调他们的测试中并未涉及真实的用户资产。
行业反应和持续争议
区块链专家Adam Cochran对此情况发表了评论,批评了CertiK的行为,并将其定性为犯罪行为。他推测存在一个涉及CertiK和朝鲜实体的阴谋,指控他们进行廉价的审计并允许随后的利用。
Cochran还指出,CertiK通过受到美国制裁的Tornado Cash移动资金,质疑他们作为一家美国公司的道德。
与此同时,X的一名评论者站出来捍卫CertiK,指出该公司进行了广泛的测试,包括对Kraken的内部警报系统进行测试,并偿还了资金。评论者建议Kraken应该对他们收到的免费安全渗透测试表示感谢。
免责声明:本内容仅供参考,不应视为财务建议。本文中表达的观点可能包含作者的个人意见,不代表The Crypto Basic的观点。读者被鼓励在做出任何投资决策之前进行全面的研究。 The Crypto Basic对任何财务损失概不负责。
Chinese (China) 
Chinese (Hong Kong) 
English