仮想通貨取引所のKrakenとブロックチェーンセキュリティ企業CertiKは昨夜、一連の重大なセキュリティ侵害をめぐりソーシャルメディア上で公開の対立を繰り広げた。

当初、CertiK は、Kraken に対する最近のユーザー エクスペリエンス (UX) 変更に起因する一連の重大な脆弱性を発見しました。この変更により、資産が決済される直前に顧客アカウントに請求が行われ、顧客が仮想通貨市場をリアルタイムで取引できるようになりますが、Kraken はまだ完全には解決していません。この特定の攻撃ベクトルをテストしました。

簡単に言えば、この脆弱性により、悪意のある攻撃者が入金操作を開始し、入金を完全に完了することなく自分のアカウントに資金を受け取ることができます。

Kraken がこの脆弱性を検査した後、すぐに重大と評価され、47 分後に Kraken の専門家チームによって問題が緩和されました。その後、Kraken の最高セキュリティ責任者である Nick Percoco 氏は、この問題は完全に修正され、二度と発生することはないと述べた。

発生のタイムライン、出典: CertiK 公式 X

しかし、Nick Percoco 氏は、この「セキュリティチェック」中に CertiK が Kraken から 300 万ドル近くを奪ったと指摘しましたが、CertiK はこれをきっぱりと否定しました。

ホワイトハットか脅迫か?

Kraken の事後調査により、数日以内に 3 つのアカウントがこの欠陥を悪用したことが判明しました。そのうち 1 つのアカウントは KYC を通じて CertiK スタッフに関連付けられており、この欠陥を利用してアカウント残高を 4 ドル増加させました。

理論的には、$4 を生成するだけで脆弱性の存在を証明でき、Kraken によって脆弱性が「緊急」と評価されるため、生成された $4 が返還される限り、Kraken に 100 万ドルから 150 万ドルを申請できることになります。賞金。

Kraken バグ報奨金プログラムからの報奨金。出典: クラーケン

しかし、この「セキュリティ研究者」は、一緒に仕事をしていた他の 2 人に脆弱性を開示することを選択し、彼らはその脆弱性を悪用して多額の資金を生み出し、最終的には Kraken アカウントから 300 万ドル近くを引き出しました。

Kraken が CertiK に対し、キャンペーンの詳細な説明の提供、オンチェーン活動の概念実証の作成、引き出した資金の返還の手配を依頼したところ、CertiK はこれを拒否し、BD チームとの通話を要求しました。同時にCertiKは、Krakenが想定される損失額を提示するまで資金の返還には同意しないとも述べた。

この時点で、Kraken の最高セキュリティ責任者である Nick Percoco 氏はツイートで CertiK の行為を恐喝と分類し、300 万ドルの損失を「刑事事件」とみなし、資金を回収するために現在法執行機関と調整しているところです。

CertiK は後に X に対する自社の行為を擁護しました。

CertiK による Kraken のテストは 3 つの質問に焦点を当てていました: 悪意のある攻撃者は Kraken アカウントへの入金取引を偽ることができますか?悪意のある者は偽造資金を引き出すことができますか?大規模な出金リクエストによってどのようなリスク管理と資産保護が引き起こされる可能性がありますか? CertiK は、Kraken 取引所がこれらのテストすべてに不合格であり、Kraken の多層防御システムが複数の面で侵害されたことを示していると考えています。

CertiK は、この脆弱性により、Kraken アカウントに数百万ドルが入金される可能性があったため、数日間にわたるテスト期間中、Kraken はアラートをトリガーせず、CertiK がこのインシデントを正式に報告して初めて対応し、アカウントをロックしたと述べました。テストアカウント。

クラーケンの300万ドルの損失に関して、CertiKは、クラーケンが会社の従業員を脅迫し、クラーケンが返還を要求した資金の総額が盗んだ仮想通貨と「一致しない」と主張している。同時に、CertiKはすべての預金アドレスを公開し、記録に基づいてKrakenがアクセスできる口座に既存の資金を移管すると述べた。

コミュニティの噂話はさらに刺激的になります

批判されてきたこのセキュリティ会社は再びトラブルに見舞われ、暗号化コミュニティはすぐにそれを利用した。

Cyvers.AIの創設者であるMeir Dolev氏は、「オンチェーン分析によると、クラーケン事件が勃発する26日前に、同じ署名ハッシュを使用した同様の出金活動がCoinbase上で行われていました。さらに、14日前にも同様の動きがありました。 Polygon ネットワークでも同様の引き出しアクティビティがあり、同じ署名ハッシュを使用した転送がありました。」

Certikは以前、6月5日にKrakenの脆弱性を発見し悪用したと主張していたが、オンチェーンの証拠は、Certikがこの脆弱性を認識し、同様のアクションを複数回実行した可能性を示しているようだ。業界関係者らは、Certikが発表したスケジュールが真実なのか、また、すでにこの脆弱性を悪用して長期間にわたって資金を送金しているのではないかと疑問を抱いている。この発見により、Certik の誠実さに対する疑問が高まったのは間違いありません。

それだけではなく、セキュリティ企業としてのCertiKのセキュリティも問われています。

Synthetixのアダム・コクラン氏は、「CertiKは完全に犯罪者であり、その行動はセキュリティ会社の職業倫理から完全に逸脱している。CertiKが監査してきたプロジェクトが繰り返しハッキングを受けていることを考えると、どうして同社は今日も存続できるのだろうか?」と語った。

その後の数時間で、Synthetix は再び CertiK のプロフェッショナリズムと信頼性について深刻な疑問を提起しました。 「CertiKのセキュリティ監査人はその立場を利用し、認可されたTornado Cashやその他のチャネルを通じて資産を譲渡、売却した。その行動パターンはハッカーグループLazarusのそれに似ている。」

CertiK のセキュリティ監査人は、Tornado Cash を通じて資産を移動しただけでなく、ChangeNOW を通じて資産を廃棄したことが明らかになりました。これは、Lazarus ハッキング グループが暗号化プロトコルを侵害した後の一般的な慣行とまったく同じです。一部のアナリストは、Lazarus が他のどのプロトコルよりも多くの Certik 監査プロトコルに侵入したと述べており、Certik がすでにハッカーによって侵入されていたのではないかという疑問が生じています。

CertiK 社全体が関与しているかどうかは不明ですが、CertiK のセキュリティ研究チームが「侵害」されたのではないかという疑問が生じます。

関係者らは、北朝鮮のハッカー組織がエージェントに仕事を見つけるためにDeFiプロトコルを使用するよう依頼していることを考えると、彼らはCertiKの監査人とも「共謀」したのだろうかと指摘した。そうでなければ、なぜ多くの著名な投資家がいる米国企業なのかを説明するのは難しいと指摘した。取引を強要し、マネーロンダリング協定に対する米国の制裁に違反する可能性がある。

Puffer FinanceのChen Jian氏は、「元従業員は、CertiKの上級経営陣が利益を重視しすぎて価値観に乖離があったことを明らかにした。同社はかつてトークンを発行したがその後放棄し、投資家に損失を与えた。プロジェクト関係者は、チェン・ジャン氏は、CertiK は基本的に「後光に包まれ、高額な料金を請求するスタンピング会社」になっていると考えています。CertiK が監査したプロジェクトでは、安全性の問題が繰り返し発生しています。

さらに「一部のCertiK内部監査人が企業機密情報や監査内容を漏洩した」ことも明らかになった。

CertiKの悪行に関して、多くの業界関係者はCertiKを「不快」、「不道徳」、「無責任」、「妄想」、「価値がない」と批判している。暗号化コミュニティの多くのメンバーが、CertiK に対するこの口頭攻撃に参加しました。その中で、元 OKX 従業員の Zi Ye 氏は、「誰かが鉄板を蹴った」と述べました。

DegenBing.eth | Biji DAO は、CertiK を称賛する人々は愚かか悪いかのどちらかであると率直に言いました。コミュニティユーザーの@tayvano_もまた、「CertiKの行為にはまったく弁解の余地がなく、正当なホワイトハットテストとはまったくみなせない」とCertiKを嘲笑し、CertiKに「出て行け」と呼び掛けた。

CrertiK、残るは「世界を中傷する」だけ?

コミュニティの反応から、この事件の主人公である CertiK が論争に巻き込まれるのは初めてではないことがわかります。 CertiK は 2017 年に誕生し、かつては Web3 セキュリティ分野のスター プロジェクトでした。創設者は、イェール大学コンピューター サイエンス学部長で終身教授の Shao Zhong 氏と、コロンビア大学コンピューター サイエンス学部教授の Gu Ronghui 氏で、どちらもセキュリティ分野の第一人者です。

2021年、CertiKは1年以内に5件の資金調達を開始し、その中にはゴールドマン・サックス、タイガー、ソフトバンク、セコイア、ヒルハウスなどの最も豪華な投資家が含まれており、その年にはCoinMarketCaのすべてのセキュリティ監査を受けたDeFi企業が含まれていました。これらのプロジェクトでは、CertiK の市場シェアは 70% であり、その協力顧客には、Aave、Polygon、Yearn Finance、Chiliz などの主要プロジェクトが含まれています。

しかしその一方で、CertiK は立ち上げ以来、Web3 セキュリティ分野で市場の大部分を占めているにもかかわらず、扱うプロジェクトのセキュリティを保証できないことにコミュニティは疑問を抱いてきました。 「すべての CertiK 監査が逃げるわけではありませんが、逃げる人はほぼすべての CertiK 監査であり、全員がアップグレードしたと主張したがりますが、実際の結果は誰もが知っているので、「CertiK 監査」ほぼ雷対策ガイドになっています。

2023年4月、Geek ParkはCertiKのCEO、Gu Ronghuiにインタビューし、彼はこれらの論争に対して「世界中で有名だが、世界中で中傷されている」という文で答えた。頻繁に発生するセキュリティ問題について、CertiK はそれらを「避けられない状況」とみなしており、セキュリティ監査レポートを発行し、コミュニティによる自発的な検査の実施を許可することで対応しています。Gu Ronghui は、CertiK が「支部」や盗難防止組織になることを望んでいない、とかつて述べていました。 " 証明書"。

CertiK を取材した Geek Park の報告書が公開された直後、zkSync をベースとした分散型取引プラットフォームである Merlin から約 182 万米ドルが盗まれました。今回の攻撃は、CertiK が「不正行為」によるものとされていました。開発者。」

1か月後、DeFiプロジェクトのSwaprumはCertiKの監査を受けて数週間後に逃走し、顧客の資金総額300万ドルを奪った。コミュニティはCertiKを非難し、「さらなる陰謀」を認可したと述べた。

さまざまな事故に加えて、コミュニティは CertiK の技術的障壁にも疑問を抱いていました。

CertiK は、形式検証と AI テクノロジーの連携を利用して、エンドツーエンドのブロックチェーン セキュリティ監査サービスを提供します。簡単に言うと、形式検証と手動検証を組み合わせて、大規模な言語モデルを使用してソース コードの問題を自動的にチェックし、模擬攻撃を実行します。安全エンジニアは、提起された問題についてフィードバックを提供します。

創業者はその仕組みに自信を持っており、「たとえ技術が発展しなくても、より多くのコードを見て、より多くの人にアノテーションを付けてもらえれば、我々のエンジンはどんどん良くなり、セキュリティレベルも上がっていくだろう」と語った。より高くなり、顧客はますます増え、エンジンはますます良くなります。」

監査結果が信頼できないという事実に加えて、CertiKの暗い歴史には、CertiKがかつて2021年にCertikチェーンとそのトークンCTKを立ち上げた経験も含まれていますが、現在、そのトークンCTKの導入はもう見つかりません。 Certik公式ウェブサイト。

CTK は当時 2 つの私募ラウンドを実施しており、1 回目は割当額 29%、価格 0.77 米ドルで、2 回目は割当額 9%、価格 1.9 米ドルであったことがわかります。 CTK がオンラインになった後、短期間のチャージを経て下落傾向が始まりました。執筆時点ではその価格は 0.8 ドルでした。

「Kraken 脅迫」論争に巻き込まれた後、Kraken には脆弱性がありますが、コミュニティの態度は驚くほど一貫しており、CertiK の過去の行為を詳しく説明しています。豪華な資金ラインナップと評価額 20 億ドルを誇る Web3 セキュリティ分野のスター プロジェクトから、さまざまな論争に巻き込まれ、「雷回避ラベル」とみなされてきた CertiK の近年の経験は、コミュニティにため息をつきました。また、まだ現場にいるプロジェクト開発者に警告する機会も提供しました。