加密安全公司 CertiK 表示,一名恶意员工应对 6 月份与其利用加密货币交易所 Kraken 相关的多笔 Tornado Cash 交易负责。
6 月 19 日的事件中,该公司从交易所提取了约 300 万美元,这引起了当时加密安全研究人员的强烈抗议,他们质疑为什么与 CertiK 相连的钱包会通过受批准的 DeFi 协议发送资金。
CertiK 的一位发言人告诉 DL News:“这些交易并非恶意执行的,也与从 Kraken 提取的资金无关”,并证实该公司的一名员工使用了 Tornado Cash。
该发言人表示,一名团队成员未经授权,将自己的少量资金发送到 Tornado Cash,并立即将这些资金提取到他自己拥有的几个新地址。
Tornado Cash 让用户打破区块链交易之间的可追溯性链条。
尽管 CertiK 坚称该事件是一次旨在测试 Kraken 安全性的“白帽”行动,但目前尚不清楚为何一家以加密代码安全为基础的企业在调查和测试漏洞时似乎违反了行业标准。
“深感抱歉”
此前,CertiK 于 8 月 16 日就该事件发表了首份官方声明,称已采取措施“将类似误解再次发生的风险降至最低”。
其他网络安全专家对此表示怀疑。
安全联盟成员哈德森·詹姆森 (Hudson Jameson) 在谈到 CertiK 在消息应用程序 Telegram 上发表的声明时表示:“那篇博客几乎没有道歉的意思。”
此后,CertiK 采取了更为歉意的语气。
该公司发言人向 DL News 表示:“我们对 Kraken 事件给我们的客户和社区带来的不便和混乱深表歉意。”
8 月 16 日的声明并未解释为何资产会从与该公司关联的钱包转移到 Tornado Cash。
当被问及为什么该团队成员首先通过 Tornado Cash 发送小额资金时,CertiK 并未做出回应。
尽管 Tornado Cash 具有合法用途,但由于其在洗钱者中的受欢迎程度,监管机构对其进行了严格审查,其中最突出的是朝鲜网络犯罪集团 Lazarus Group。
2022 年,Tornado Cash 受到美国外国资产控制办公室(OFAC)的制裁。根据 OFAC 网站,违反制裁的罚款可能超过数百万美元。
由于 CertiK 是一家在美国注册的公司,因此几乎肯定会受到此类制裁。
而 Tornado Cash 交易并不是此次灾难中唯一未解之谜。
另一个挥之不去的问题是,为什么 CertiK 在发现这个漏洞后选择从 Kraken 提取如此大笔资金(近 300 万美元)。
CertiK 表示:“我们的团队这样做是为了测试 Kraken 的保护和风险控制的极限。据我们所知,没有触发任何警报,也没有触发任何限制。”
行业标准规定,在确认存在漏洞后,发现者应尽快报告 - 而不是继续利用它来测试理论极限。
哪里出了问题?
CertiK 是一家加密安全公司,自称已为 4,700 多个项目提供服务,该公司表示,在实施政策和培训变革的同时,已对参与 Kraken 漏洞攻击的团队成员采取了纪律处分。
该公司表示,这包括确保内部遵守所有政策和适用法律,包括 OFAC 制裁。
去年,在一系列全行业裁员行动中,CertiK 裁掉了约 15% 的员工。
CertiK 将此次裁员描述为“为应对不断变化的市场动态而进行的战略性劳动力调整”。该公司拒绝透露此次裁员是否影响了其内部流程的质量。
Tim Craig 是 DL News 驻爱丁堡的 DeFi 通讯员。如需建议,请发送电子邮件至 tim@dlnews.com。