原文作者:BlockBeats
原文來源:BlockBeats
昨晚,加密貨幣交易所 Kraken 和區塊鏈安全公司 CertiK 在社群媒體上就一系列嚴重的安全漏洞問題發生了公開對峙。
最初,CertiK 在 Kraken 發現了一系列嚴重漏洞,該漏洞源自最近 Kraken 的用戶體驗(UX)變化,該變化會在客戶資產結算前立即為客戶帳戶記帳,並允許客戶即時交易加密貨幣市場,而 Kraken 暫未針對這種特定攻擊向量進行充分測試。
簡單來說,該漏洞允許惡意攻擊者在未完全完成存款的情況下,發動存款操作並在其帳戶中收到資金。
在 Kraken 對該漏洞進行檢查後,立即將其評估為「關鍵」(Critical),並在 47 分鐘後由 Kraken 的專家團隊緩解了這個問題。隨後,Kraken 首席安全長 Nick Percoco 表示該問題已完全修復,並且不會再次發生。
時間發生時間線,圖源:CertiK 官方 X
然而有趣的事情發生了,Nick Percoco 指出 CertiK 在此次「安全檢查」中套走了 Kraken 近 300 萬美元,而 CertiK 則對此表示堅決否認。
白帽還是敲詐?
在 Kraken 的事後調查中發現,三個帳戶在幾天內利用了這一漏洞,其中一個帳戶通過身份認證(KYC)關聯到 CertiK 工作人員,他利用漏洞將其帳戶餘額增加了 4 美元。
理論上,生成 4 美元時就足以證明漏洞的存在,且該漏洞被 Kraken 評估為「關鍵」(Critical),這就意味著只要退回生成的 4 美元,就能夠向 Kraken 申請 100 至 150 萬美元的賞金。
Kraken 漏洞賞金計畫的獎金。來源:Kraken
然而,這位「安全研究員」卻選擇將該漏洞透露給了與他合作的另外兩個人,後者利用這個漏洞產生了更大金額的資金,最終從他們的 Kraken 帳戶提取了近 300 萬美元。
當 Kraken 向 CertiK 要求提供活動的詳細說明,創建鏈上活動的概念驗證,並安排歸還他們提取的資金時,CertiK 卻表示拒絕,並要求與其 BD 團隊通話。同時,CertiK 也表示在 Kraken 提供一個假設的可能損失金額之前,不同意歸還任何資金。
至此,Kraken 首席安全官 Nick Percoco 在推文中將 CertiK 的行為標榜為敲詐,並將此 300 萬美元的損失視為「刑事案件」,目前正與執法部門協調追回資金。
隨後,CertiK 在 X 上為自己的行為辯護。
CertiK 對 Kraken 的測試主要圍繞三個問題,即惡意行為者能否偽造存款交易到 Kraken 帳戶?惡意行為者能否提取偽造的資金?大額提款請求可能觸發哪些風險控制和資產保護?而 CertiK 認為 Kraken 交易所未通過所有這些測試,這表明 Kraken 的深度防禦系統在多個方面被破壞。
CertiK 表示,由於漏洞讓數百萬美元可以存入任何 Kraken 帳戶,而在多天的測試期間,Kraken 沒有觸發任何警報,一直到 CertiK 的正式報告事件後才響應並鎖定了測試帳戶。
至於 Kraken 的 300 萬美元損失,CertiK 聲稱 Kraken 威脅了公司員工,Kraken 要求歸還的資金總額與其所竊取的加密貨幣「不匹配」。同時,CertiK 揭露了全部存款地址,並表示會根據記錄將現有的資金轉移到 Kraken 能夠存取的帳戶。
社群扒黑料
這家一直被詬病的安全公司又出事了,加密貨幣社群迅速前排吃瓜。
Cyvers.AI 的創辦人 Meir Dolev 表示:「據鏈上分析,在 Kraken 事件爆出 26 天前,就有相同的簽章哈希對 Coinbase 進行了類似的提款活動。另外,14 天前 Polygon 網路上也出現了使用相同簽名哈希的轉帳行為。」
Certik 先前聲稱是在 6 月 5 日才發現並利用了 Kraken 的漏洞,但鏈上證據似乎表明,它可能早已掌握該漏洞並實施了多次類似行為。業內人士質疑 Certik 公佈的時間線是否屬實,它是否早已利用漏洞長期轉移資金。這項發現無疑加劇了對 Certik 操守的質疑。
不僅如此,作為安全公司的 CertiK,其安全性也受到質疑。
Synthetix 的 Adam Cochran 表示,「CertiK 是徹頭徹尾的罪犯,其行為已經完全背離了安全公司的職業操守。鑑於 CertiK 審計過的項目屢屢被黑客攻擊,該公司為何還能存在至今?」
在隨後的幾個小時內,Synthetix 再次對 CertiK 的專業和公信力提出嚴重的質疑。「CertiK 安全審計師利用職務之便,透過受制裁的 Tornado Cash 等管道轉移和拋售資產,行為模式與駭客組織無惡不作組織 Lazarus 相似。」
據揭露,CertiK 的安全審計師不僅透過 Tornado Cash 轉移資產,還透過 ChangeNOW 拋售資產,與 Lazarus 駭客組織入侵加密協議後的常見做法如出一轍。有分析人士表示,Lazarus 入侵的 Certik 審計協議比其他任何協議都多,這引發了外界對 Certik 內部是否早已遭駭客滲透的質疑。
儘管目前尚無法確定整個 CertiK 公司是否參與其中,但這確實讓人懷疑 Certik 的安全研究團隊是否早已「受損」。
有相關人士指出,鑑於北韓駭客組織曾讓代理人利用 DeFi 協議尋找工作,他們是否也與 CertiK 的審計師「勾結」? 否則很難解釋,為何一家擁有眾多知名投資者的美國公司,會勒索交易所並違反美國對洗錢協議的製裁。
Puffer Finance 的陳劍表示,「有前員工透露,CertiK 高層過於重視盈利,價值觀出現偏差。該公司曾發行代幣後遭拋棄,令投資者蒙受損失。建議項目方謹慎選擇 CertiK 進行安全審計。」陳劍認為 CertiK 基本上成為一家「用光環包裝且收費昂貴的蓋章公」,它審計過的項目屢屢出現安全問題。
此外,也有人揭露「一些 CertiK 內部審核員洩漏了公司的機密資訊和審計細節」。
對於 CertiK 的劣跡,多名業內人士狠批 CertiK「令人作嘔」、「不道德」、「不負責任」、「妄想」、「毫無價值」。大量加密社群成員加入了這場對 CertiK 的口誅筆伐,其中,前 OKX 員工紫夜表示:「有人踢到鐵板了。」
DegenBing.eth | Buji DAO 直言吹捧 CertiK 的人非蠢即壞,「大家趕緊準備好爆米花,後續應該會很精彩」。社群使用者 @tayvano_ 也對 CertiK 表示嘲諷,「CertiK 的行為絕對沒有任何藉口,根本無法被視為合法的白帽子測試」,並呼籲 CertiK「滾出去」。
CrertiK,只剩「謗滿天下」?
從社群反應可以看出,這次事件裡的主角 CertiK 已經不是第一次捲入爭議了。 CertiK 誕生於 2017 年,曾經 Web3 安全領域的明星計畫。其創辦人是為耶魯大學電腦系主任、終身教授邵中、哥倫比亞大學電腦系教授顧榮輝,皆為安全領域的頂尖學者。
2021 年,CertiK 開始迅速發展,在不到一年的時間內拿了五次融資,囊括了高盛、老虎、軟銀、紅杉、高瓴等最豪華的資方,當年在 CoinMarketCa 所有經安全審計的 DeFi 在項目中,CertiK 的市佔率達 70%,遠超過同行,其合作客戶包括 Aave 、 Polygon 、 Yearn Finance 和 Chiliz 等領先項目。
但另一半,自 CertiK 推出之後,其面臨的爭議也沒有斷過,社群一直質疑 CertiK 一邊佔有 Web3 安全領域的絕大部分市場,一邊卻不能保證經手項目的安全性。甚至有人吐槽過,「CertiK 審計的未必都跑路,但是跑路的幾乎都是 CertiK 審計,而且都喜歡對外宣稱有升級,但實際結果大家都知道,以至於『CertiK 審計』幾乎成了避雷指南。
2023 年 4 月,極客公園訪問了 CertiK CEO 顧榮輝,其用一句「譽滿天下,謗滿天下」回應這些爭議。對於頻頻出現的安全問題,CertiK 都視其為「不可避免的情況」,應對方式是公開安全審計報告,讓社群自發性檢查,顧榮輝曾表示,不希望 CertiK 變成一個「章」、一個防盜的「證書」。
就在極客公園這篇採訪 CertiK 的報導發出後不久,基於 zkSync 的去中心化交易平台 Merlin 被盜走約 182 萬美元,而在這之前,Merlin 剛剛通過了 CertiK 的審計,這次 CertiK 將 Merlin 攻擊歸咎於「流氓開發者」。
一個月後,DeFi 項目 Swaprum 在接受 CertiK 審計幾週後跑路,捲走了總額達 300 萬美元的客戶資金。社群將矛頭指向 CertiK,稱其批准了「又一陰謀」。
種種事故之外,社群也對於 CertiK 的技術障礙產生質疑。
CertiK 利用形式化驗證和 AI 技術協作提供端到端的區塊鏈安全審計服務,簡單來說,就是透過形式驗證和手動驗證相結合,利用大語言模型自動檢查源代碼的問題,進行模擬攻擊,再由安全工程師對提出的問題進行回饋。
而創辦人則對其機制充滿自信,「即使我們的技術不發展,但只要我們能見到更多的程式碼、有更多的人對它進行標註,我們的引擎就會變得越來越好」。
除了審計結果不可信這一點,CertiK 的黑歷史還包括其發幣經歷,CertiK 曾在 2021 年推出過 Certik chain 及其代幣 CTK,但現在 Certik 官網上,已經找不到其代幣 CTK 的介紹。
據了解,CTK 當時共有兩輪私募輪,一輪額度 29%,價格為 0.77 美元;二輪額度 9%,價格為 1.9 美元。而 CTK 上線後,經過短暫衝鋒就開始了下跌模式,截止撰稿時,其價格為 0.8 美元。
這次捲入「敲詐 Kraken」爭議後,儘管 Kraken 確實存在漏洞,社群的態度卻出奇的一致,紛紛歷數 CertiK 的過往事蹟。從擁有豪華融資陣容、估值 20 億美元的 Web3 安全領域明星項目,到陷入種種爭議、被視為「避雷標籤」,CertiK 這幾年的經歷讓社群唏噓,也給還在場上的項目方提供了警示。
(以上內容獲合作夥伴 PANews 授權節錄及轉載,原文連結 | 出處:區塊律動 BlockBeats)
聲明:文章僅代表作者個人觀點意見,不代表區塊客觀點和立場,所有內容及觀點僅供參考,不構成投資建議。投資者應自行決策與交易,對投資者交易形成的直接間接損失作者及區塊客將不承擔任何責任。
〈發現漏洞「先吃再報」?CertiK 遭質疑「敲詐 Kraken 交易所」〉這篇文章最早發佈於《區塊客》。