上个月,当 Kraken 首席安全官 Nick Percoco 得知该交易所遭到黑客攻击,损失了 300 万美元时,他正在 40,000 英尺的高空飞行,准备去享受应得的假期。
但 Percoco 并没有放弃在日本的计划,而是主动出击,帮助这家全球第七大加密货币交易所应对最严重的安全危机之一。
“我刚好在飞机上能使用 Wi-Fi,”Percoco 告诉 DL News。“我当时正在和同事进行一些临时沟通,阅读新闻,在 Twitter 上发帖。然后看到了这个,并引导他们去寻找漏洞赏金。”
6 月 19 日,Kraken 透露,一位独立安全研究人员报告了该交易所漏洞赏金计划的一个严重漏洞。
这些程序向攻击者提供金钱,以换取他们找出项目中的漏洞。
正是这一漏洞让研究人员可以随意将资金存入 Kraken 账户。该侦探为安全和加密审计公司 CertiK 工作,该公司表示已发现此漏洞。
Percoco 表示,在五天的时间里,CertiK 从交易所提取了价值 300 万美元的加密货币。
这非常不寻常。安全公司不应该花这么长时间和这么多钱来利用一个漏洞,Percoco 说。
资金最终被退还,漏洞也在 47 分钟内得到修复。尽管如此,即使以加密货币的标准来看,这仍然是一个令人震惊的事件。
这是对业内最老牌交易所之一的一次大规模入侵。Kraken 成立于 2011 年,它的崛起与比特币的制度化密不可分。
1 月份,11 只不同的现货比特币 ETF 获得批准。几个月后,Kraken 开始筹集资金,准备进行可能的首次公开募股。
这次攻击也很奇怪。CertiK 是一家致力于保护加密货币代码的公司,它似乎打破了几乎所有有关漏洞赏金的行业标准。在整个事件过程中,他们甚至试图与 Kraken 的安全团队进行销售通话。
CertiK 尚未立即回应 DL News 的评论请求。
Percoco 在推文中表示,CertiK 是在敲诈交易所,而不是白帽黑客。
基本原则
漏洞赏金计划在加密和科技行业中很常见。
任何有价值的加密项目都会留出资金用于对其智能合约进行多次审计,并留出另一笔资金用于奖励那些发现漏洞的狡猾但有道德的黑客。
上个月,一名研究人员因发现第一层网络 Sei 上的一个漏洞而获得了 200 万美元。对于像最近发生的这种严重漏洞,Kraken 最多会支付 150 万美元。
自 20 世纪 90 年代末以来一直从事安全研究的 Percoco 表示,Kraken 的程序已经存在了十年。它的收件箱里充斥着那些想快速获得报酬的人发送的虚假漏洞。
他甚至认为CertiK的报告是假的。
“他们说‘你需要尽快联系我们’,但没有联系方式。我甚至无法直接发信息,”他说。“有点怀疑这是否是有人想骗我们。”
红旗
尽管如此,负责日夜监控收件箱的五人团队必须仔细检查每一份报告。由于 Kraken 的每日交易量超过 10 亿美元,因此风险很大。
佩尔科科说,缺乏联系信息并不是唯一的危险信号。
赏金收集者需要遵循四条报告漏洞的规则。首先,他们必须在发现漏洞后立即向公司报告。
第二,赏金收集者必须证明他们可以利用该漏洞。第三,在提供证据时,他们必须只收取足以证明漏洞存在的金额。
最后,他们必须与该公司合作重新测试漏洞,看看该公司是否能够修复它。
Percoco 表示,CertiK 采取了不同的方法,打破了所有四条规则。
加密货币的成长烦恼
随着贝莱德和富达涌入该领域,安全和漏洞赏金成为人们关注的焦点。但与其他行业(最佳实践可持续数年)不同,在加密货币领域,最佳实践可能仅持续几天。
尽管发生了最新事件,但各公司仍在向漏洞赏金计划投入大量资金。
据漏洞赏金平台 HackerOne 称,加密货币交易所 Crypto.com 为一个严重漏洞悬赏 8 万美元。托管服务 Fireblocks 为类似漏洞悬赏高达 25 万美元。
如果你能闯入交易所,即使是上市的 Coinbase 也会支付 100 万美元。
漏洞赏金费用昂贵,有时也是笨重的安全网,但考虑到今年已有 6.64 亿美元被盗,它们显然还是有必要的。
Liam Kelly 是 DL News 的 DeFi 记者。联系方式:liam@dlnews.com。
