美國加密貨幣交易所 Kraken 最近披露，某位自稱安全研究人員的駭客利用其平台上的一個嚴重漏洞，竊取了價值 300 萬美元的數位資產，並正在對其進行「敲詐」。該研究人員在 6 月 9 日報告了這個漏洞，但他利用該漏洞從 Kraken 的財務中提​​取資金，而不是保護這些資金。

Kraken Security Update:On June 9 2024, we received a Bug Bounty program alert from a security researcher. No specifics were initially disclosed, but their email claimed to find an “extremely critical” bug that allowed them to artificially inflate their balance on our platform.

— Nick Percoco (@c7five) June 19, 2024

Kraken 安全長 Nick Percoco 透露，這位研究人員及其關聯的兩個帳戶利用這個漏洞提取了超過 300 萬美元。在漏洞利用之後，研究人員要求對竊取的資金給予獎勵，然後才同意歸還這些資金。Percoco 在 6 月 19 日的 X 貼文中表示，這種行為不是白帽駭客，而是敲詐。

針對這些事件，Kraken 強調，被竊的加密貨幣來自其交易所財庫，沒有用戶資金受到影響。

對此，安全審計公司 CertiK 在 X 平台上直接承認，Kraken 所指的安全漏洞研究員是 CertiK 的白帽駭客。CertiK 辯稱，在成功識別和修復漏洞的初步成功後，Kraken 的安全營運團隊甚至在沒有提供還款地址的情況下，威脅 CertiK 的個別員工在不合理的時間內償還不匹配的加密貨幣金額。

CertiK recently identified a series of critical vulnerabilities in @krakenfx exchange which could potentially lead to hundreds of millions of dollars in losses.Starting from a finding in @krakenfx's deposit system where it may fail to differentiate between different internal… pic.twitter.com/JZkMXj2ZCD

— CertiK (@CertiK) June 19, 2024

然而，當社群開始深入追蹤這起事件後發現，攻擊者從 Kraken 竊取資金之後，竟然將某部分資金存入混幣器，這似乎不是一位乾淨的白帽駭客會有的正常行為。

just testing some tornado cash deposits after testing the kraken withdrawal featureneeded to make sure it still works pic.twitter.com/PL4zi7GzSW

— Spreek (@spreekaway) June 19, 2024

此外，鏈上偵探 0xBoboShanti 也指出，某位 Certik 安全研究人員之前曾公開發布的地址，早在 5 月 27 日就進行了探測和測試，這與 Certik 批售的事件時間表有所矛盾。

這起事件目前尚未得出結論，但綜合所有資訊來看，整體風向對 CertiK 相當不利。

這篇文章 審計公司堅守自盜？CertiK 遭指控利用 Kraken 交易所漏洞並惡意敲詐 最早出現於 桑幣區識 Zombit。