Sàn giao dịch tiền điện tử Kraken và công ty bảo mật blockchain CertiK đã tham gia vào một cuộc đối đầu công khai trên phương tiện truyền thông xã hội đêm qua về một loạt vi phạm an ninh nghiêm trọng.

Ban đầu, CertiK đã phát hiện ra một loạt lỗ hổng nghiêm trọng trong Kraken xuất phát từ những thay đổi gần đây về trải nghiệm người dùng (UX) đối với Kraken, khiến tài khoản khách hàng bị tính phí ngay trước khi tài sản của họ được thanh toán và cho phép khách hàng giao dịch thị trường tiền điện tử trong thời gian thực, Kraken vẫn chưa hoàn toàn đã thử nghiệm vectơ tấn công cụ thể này.

Nói một cách đơn giản, lỗ hổng này cho phép kẻ tấn công độc hại bắt đầu hoạt động gửi tiền và nhận tiền trong tài khoản của họ mà không cần hoàn tất việc gửi tiền.

Sau khi Kraken kiểm tra lỗ hổng, nó ngay lập tức được đánh giá là Nghiêm trọng và vấn đề đã được giảm nhẹ 47 phút sau đó bởi đội ngũ chuyên gia của Kraken. Sau đó, Giám đốc An ninh Kraken Nick Percoco tuyên bố rằng sự cố đã được khắc phục hoàn toàn và sẽ không xảy ra nữa.

Dòng thời gian xảy ra, nguồn: CertiK chính thức X

Tuy nhiên, một điều thú vị đã xảy ra. Nick Percoco đã chỉ ra rằng CertiK đã cướp đi gần 3 triệu USD của Kraken trong lần “kiểm tra an ninh” này, trong khi CertiK kiên quyết phủ nhận điều này.

Mũ trắng hay tống tiền?

Cuộc điều tra khám nghiệm tử thi của Kraken cho thấy ba tài khoản đã khai thác lỗ hổng trong vòng vài ngày, trong đó có một tài khoản được liên kết với nhân viên CertiK thông qua KYC, người đã sử dụng lỗ hổng này để tăng số dư tài khoản của mình thêm 4 USD.

Về mặt lý thuyết, việc tạo ra 4 đô la là đủ để chứng minh sự tồn tại của lỗ hổng bảo mật và lỗ hổng này được Kraken đánh giá là "nghiêm trọng". Điều này có nghĩa là miễn là số tiền 4 đô la được tạo ra được trả lại, bạn có thể đăng ký Kraken với số tiền từ 1 triệu đến 1,5 triệu đô la. tiền thưởng.

Tiền thưởng từ chương trình thưởng lỗi Kraken. Nguồn: Kraken

Tuy nhiên, “nhà nghiên cứu bảo mật” đã chọn tiết lộ lỗ hổng này cho hai cá nhân khác mà anh ta đang làm việc cùng, những người này đã khai thác lỗ hổng này để tạo ra số tiền lớn hơn, cuối cùng đã rút gần 3 triệu USD từ tài khoản Kraken của họ.

Khi Kraken yêu cầu CertiK cung cấp mô tả chi tiết về chiến dịch, tạo bằng chứng khái niệm cho hoạt động trên chuỗi và sắp xếp việc trả lại số tiền họ đã rút, CertiK đã từ chối và yêu cầu một cuộc gọi với nhóm BD của mình. Đồng thời, CertiK cũng tuyên bố rằng họ sẽ không đồng ý hoàn trả bất kỳ khoản tiền nào cho đến khi Kraken cung cấp số tiền giả định về các khoản lỗ có thể xảy ra.

Tại thời điểm này, Giám đốc An ninh Kraken, Nick Percoco, đã coi hành động của CertiK là tống tiền trong một tweet và coi khoản lỗ 3 triệu USD là một “vụ án hình sự” và hiện đang phối hợp với cơ quan thực thi pháp luật để thu hồi số tiền.

CertiK sau đó đã bảo vệ hành động của mình trên X .

Việc thử nghiệm Kraken của CertiK tập trung vào ba câu hỏi: Liệu các tác nhân độc hại có thể giả mạo các giao dịch gửi tiền vào tài khoản Kraken không? Những kẻ độc hại có thể rút tiền giả không? Những biện pháp kiểm soát rủi ro và bảo vệ tài sản nào có thể được kích hoạt bởi các yêu cầu rút tiền lớn? CertiK tin rằng sàn giao dịch Kraken đã thất bại trong tất cả các thử nghiệm này, cho thấy hệ thống phòng thủ chuyên sâu của Kraken đã bị xâm phạm trên nhiều mặt.

CertiK cho biết do lỗ hổng cho phép gửi hàng triệu đô la vào bất kỳ tài khoản Kraken nào nên Kraken đã không kích hoạt bất kỳ cảnh báo nào trong thời gian thử nghiệm kéo dài nhiều ngày và phải đến khi CertiK chính thức báo cáo sự việc thì họ mới phản hồi và khóa tài khoản. tài khoản thử nghiệm.

Về khoản lỗ 3 triệu USD của Kraken, CertiK tuyên bố rằng Kraken đã đe dọa nhân viên công ty và tổng số tiền mà Kraken yêu cầu trả lại “không khớp với” số tiền điện tử mà nó đã đánh cắp. Đồng thời, CertiK tiết lộ tất cả các địa chỉ gửi tiền và tuyên bố rằng họ sẽ chuyển số tiền hiện có vào các tài khoản mà Kraken có thể truy cập dựa trên hồ sơ.

Tin đồn cộng đồng thậm chí còn thú vị hơn

Công ty bảo mật từng bị chỉ trích này lại gặp rắc rối và cộng đồng mã hóa đã nhanh chóng lợi dụng điều đó.

Meir Dolev, người sáng lập Cyvers.AI, cho biết: “Theo phân tích trên chuỗi, 26 ngày trước khi sự cố Kraken nổ ra, đã có một hoạt động rút tiền tương tự trên Coinbase với cùng chữ ký băm. Ngoài ra, 14 ngày trước, ở đó. cũng là một hoạt động rút tiền tương tự trên mạng Polygon. Đã có một giao dịch chuyển tiền sử dụng cùng một hàm băm chữ ký.”

Certik trước đây tuyên bố đã phát hiện và khai thác lỗ hổng Kraken vào ngày 5 tháng 6, nhưng bằng chứng trên chuỗi dường như chỉ ra rằng họ có thể đã biết về lỗ hổng này và thực hiện các hành động tương tự nhiều lần. Những người trong ngành đặt câu hỏi liệu dòng thời gian mà Certik công bố có đúng hay không và liệu nó có khai thác lỗ hổng để chuyển tiền trong một thời gian dài hay không. Phát hiện này chắc chắn đã đặt ra câu hỏi về tính trung thực của Certik.

Không chỉ vậy, với tư cách là một công ty bảo mật, khả năng bảo mật của CertiK cũng đang bị đặt dấu hỏi.

Adam Cochran của Synthetix cho biết: "CertiK là một tên tội phạm trắng trợn có hành vi hoàn toàn đi chệch khỏi đạo đức nghề nghiệp của một công ty bảo mật. Xét thấy các dự án mà CertiK kiểm toán đã bị hack nhiều lần thì làm sao công ty này có thể tồn tại đến ngày nay?"

Trong những giờ sau đó, Synthetix một lần nữa đặt ra những câu hỏi nghiêm túc về tính chuyên nghiệp và uy tín của CertiK. “Các kiểm toán viên bảo mật của CertiK đã lợi dụng chức vụ của mình để chuyển và bán tài sản thông qua Tornado Cash bị trừng phạt và các kênh khác. Kiểu hành vi tương tự như kiểu hành vi của nhóm hacker Lazarus.”

Có thông tin tiết lộ rằng các kiểm toán viên bảo mật của CertiK không chỉ chuyển tài sản thông qua Tornado Cash mà còn chuyển tài sản thông qua ChangeNOW, đây chính xác là cách làm phổ biến sau khi nhóm hack Lazarus xâm phạm giao thức mã hóa. Một số nhà phân tích cho rằng Lazarus đã xâm chiếm nhiều giao thức kiểm toán của Certik hơn bất kỳ giao thức nào khác, đặt ra câu hỏi về việc liệu Certik có bị tin tặc xâm nhập hay không.

Mặc dù không rõ liệu toàn bộ công ty CertiK có liên quan hay không nhưng điều này đặt ra câu hỏi về việc liệu nhóm nghiên cứu bảo mật của Certik có bị “thỏa hiệp” hay không.

Những người liên quan chỉ ra rằng tổ chức hacker Triều Tiên đã yêu cầu các đặc vụ sử dụng giao thức DeFi để tìm việc làm, họ cũng “thông đồng” với kiểm toán viên của CertiK nếu không thì khó giải thích vì sao một công ty Mỹ lại có nhiều nhà đầu tư tên tuổi? sẽ tống tiền các giao dịch và vi phạm lệnh trừng phạt của Hoa Kỳ đối với các thỏa thuận rửa tiền.

Chen Jian của Puffer Finance cho biết: “Một cựu nhân viên tiết lộ rằng ban lãnh đạo cấp cao của CertiK quá chú trọng đến lợi nhuận và có sự chênh lệch về giá trị. Công ty từng phát hành token rồi bỏ rơi chúng, khiến các nhà đầu tư chịu lỗ. Khuyến cáo các bên tham gia dự án hãy cẩn thận chọn CertiK để kiểm tra bảo mật." Chen Jian tin rằng CertiK về cơ bản đã trở thành một "công ty dán tem được bao bọc trong hào quang và thu phí đắt đỏ". Các dự án mà họ đã kiểm toán đã nhiều lần gặp phải vấn đề về an toàn.

Ngoài ra, có thông tin tiết lộ rằng "một số kiểm toán viên nội bộ của CertiK đã làm rò rỉ thông tin bí mật của công ty và chi tiết kiểm tra."

Liên quan đến hành vi sai trái của CertiK, nhiều người trong ngành đã chỉ trích CertiK là “kinh tởm”, “vô đạo đức”, “vô trách nhiệm”, “ảo tưởng” và “vô giá trị”. Một số lượng lớn thành viên của cộng đồng mã hóa đã tham gia cuộc tấn công bằng lời nói vào CertiK. Trong số đó, cựu nhân viên OKX Zi Ye cho biết: "Ai đó đã đá vào tấm sắt".

DegenBing.eth | Buji DAO thẳng thắn cho rằng những người khen ngợi CertiK là ngu ngốc hoặc xấu, "Mọi người nhanh tay chuẩn bị bỏng ngô nhé, phần tiếp theo sẽ rất thú vị." Người dùng cộng đồng @tayvano_ cũng bày tỏ sự chế giễu CertiK: "Hoàn toàn không có lời bào chữa nào cho hành vi của CertiK và nó không thể được coi là một cuộc kiểm tra mũ trắng hợp pháp chút nào" và kêu gọi CertiK "ra ngoài".

CertiK, chỉ còn lại "vu khống thế giới"?

Có thể thấy từ phản ứng của cộng đồng rằng CertiK, nhân vật chính trong vụ việc này, không phải là lần đầu tiên vướng vào tranh cãi. CertiK ra đời năm 2017 và từng là dự án ngôi sao trong lĩnh vực bảo mật Web3. Người sáng lập của nó là Shao Zhong, chủ tịch Khoa Khoa học Máy tính tại Đại học Yale và là giáo sư chính thức, và Gu Ronghui, giáo sư Khoa Khoa học Máy tính tại Đại học Columbia, cả hai đều là học giả hàng đầu trong lĩnh vực bảo mật.

Vào năm 2021, CertiK bắt đầu phát triển nhanh chóng và nhận được 5 khoản tài trợ trong vòng chưa đầy một năm, bao gồm các nhà đầu tư sang trọng nhất như Goldman Sachs, Tiger, SoftBank, Sequoia và Hillhouse. Năm đó, tất cả các công ty DeFi đã được kiểm toán bảo mật tại CoinMarketCa. các dự án, CertiK có thị phần 70%, vượt xa các đối tác cùng ngành. Khách hàng hợp tác của nó bao gồm các dự án hàng đầu như Aave, Polygon, Yearn Finance và Chiliz.

Nhưng mặt khác, CertiK đã vấp phải nhiều tranh cãi kể từ khi ra mắt, cộng đồng đã đặt ra nghi vấn rằng CertiK chiếm phần lớn thị trường trong lĩnh vực bảo mật Web3 nhưng không thể đảm bảo tính bảo mật cho các dự án mà nó xử lý. Thậm chí, có người còn phàn nàn: “Không phải tất cả các cuộc kiểm tra của CertiK đều biến mất mà hầu như tất cả những cuộc kiểm toán ra đi đều là các cuộc kiểm toán của CertiK, và họ đều thích tuyên bố rằng họ đã nâng cấp, nhưng kết quả thực tế thì mọi người đều biết, vì vậy” Kiểm toán CertiK “ gần như đã trở thành một hướng dẫn chống sét.

Vào tháng 4 năm 2023, Geek Park đã phỏng vấn Giám đốc điều hành CertiK Gu Ronghui, người đã đáp trả những tranh cãi này bằng câu "nổi tiếng khắp thế giới, bị vu khống khắp thế giới". Về các vấn đề bảo mật thường xuyên xảy ra, CertiK coi chúng là những "tình huống không thể tránh khỏi" và phản ứng bằng cách công bố các báo cáo kiểm tra an ninh và cho phép cộng đồng tiến hành kiểm tra tự phát. Gu Ronghui từng nói rằng ông không muốn CertiK trở thành một "chương" hay một tổ chức chống trộm. " Giấy chứng nhận".

Ngay sau khi báo cáo phỏng vấn CertiK của Geek Park được công bố, khoảng 1,82 triệu USD đã bị đánh cắp khỏi Merlin, một nền tảng giao dịch phi tập trung dựa trên zkSync. Trước đó, Merlin vừa vượt qua cuộc kiểm toán của CertiK. Lần này CertiK đã chuyển Merlin sang vụ tấn công bị đổ lỗi cho "sự lừa đảo". nhà phát triển."

Một tháng sau, dự án DeFi Swaprum đã bỏ chạy vài tuần sau khi được CertiK kiểm toán, lấy đi tổng cộng 3 triệu USD tiền vốn của khách hàng. Cộng đồng chỉ tay vào CertiK, nói rằng họ đã xử phạt “một âm mưu khác”.

Ngoài nhiều vụ tai nạn khác nhau, cộng đồng còn đặt câu hỏi về các rào cản kỹ thuật của CertiK.

CertiK sử dụng xác minh chính thức và cộng tác công nghệ AI để cung cấp dịch vụ kiểm tra bảo mật blockchain từ đầu đến cuối, nói một cách đơn giản, nó sử dụng kết hợp xác minh chính thức và xác minh thủ công để tự động kiểm tra các vấn đề về mã nguồn bằng mô hình ngôn ngữ lớn, tiến hành các cuộc tấn công mô phỏng và sau đó. Các kỹ sư an toàn sẽ cung cấp phản hồi về các vấn đề được nêu ra.

Người sáng lập tự tin vào cơ chế của mình, "Ngay cả khi công nghệ của chúng tôi không phát triển, miễn là chúng tôi có thể thấy nhiều mã hơn và có nhiều người chú thích hơn, thì công cụ của chúng tôi sẽ ngày càng tốt hơn." cao hơn và chúng tôi sẽ ngày càng có nhiều khách hàng hơn, điều này sẽ làm cho động cơ ngày càng tốt hơn."

Ngoài việc kết quả kiểm toán không đáng tin cậy, lịch sử đen tối của CertiK còn bao gồm kinh nghiệm phát hành tiền tệ của họ. CertiK từng ra mắt chuỗi Certik và mã thông báo CTK của nó vào năm 2021, nhưng giờ đây việc giới thiệu mã thông báo CTK của nó không còn được tìm thấy trên đó nữa. trang web chính thức của Certik.

Được biết, CTK đã có hai vòng phát hành riêng lẻ vào thời điểm đó, một vòng với hạn ngạch 29% và giá 0,77 USD và vòng thứ hai với hạn ngạch 9% và giá 1,9 USD. Sau khi CTK lên mạng, nó bắt đầu có xu hướng giảm sau một thời gian ngắn tính phí. Tại thời điểm viết bài, giá của nó là 0,8 USD.

Sau khi vướng vào tranh cãi "tống tiền Kraken", mặc dù Kraken có lỗ hổng nhưng thái độ của cộng đồng lại nhất quán một cách đáng ngạc nhiên và họ đã kể lại những việc làm trong quá khứ của CertiK. Từ việc là một dự án ngôi sao trong lĩnh vực bảo mật Web3 với đội hình tài chính sang trọng và được định giá 2 tỷ USD, đến việc vướng vào nhiều tranh cãi và bị coi là “nhãn hiệu tránh sét”, kinh nghiệm của CertiK trong những năm gần đây đã khiến cộng đồng phải thở dài. và cũng tạo cơ hội cho các nhà phát triển dự án vẫn đang có mặt tại hiện trường.