在本文中，我们讨论一个令人难以置信的故事：几天前，审计公司 Certik 发现加密货币交易所 Kraken 的安全系统存在一个漏洞，可能导致严重的黑客攻击。

在进行了三天的测试并执行了价值 300 万美元的“白帽黑客”攻击后，Certik 联系了 Kraken 并告知了该漏洞，但最初拒绝立即退还被盗金额。

该加密货币交易所立即联系了执法部门，将该情况视为刑事案件，而该加密安全公司则坚称这是“赏金计划”的典型测试。现在资金似乎已经退还。

下面让我们详细看看一切。

针对加密货币交易所 Kraken 的 300 万美元骇客攻击：Certik 负责，但拒绝退还资金

这个故事始于2024 年6 月9 日，当时加密货币交易所Kraken 收到了一位「安全研究人员」的非正式通信，该研究人员声称在该平台上发现了一个可能导致大规模骇客攻击的漏洞。

正如 Kraken 首席安全官 Nick Percoco 在事后推文中所报道的那样，研究人员强调了存款安全系统中的一个缺陷（无法区分内部转账的不同状态），该缺陷允许用户夸大其余额并提取比实际可用的更多的硬币。交易所立即采取行动解决该问题，专家团队仅用了 47 分钟就修复了这个错误。

以下是 Percoco 的报导：

「该漏洞允许恶意攻击者在适当的情况下在我们的平台上发动存款，并在没有完全完成存款的情况下将资金存入他们的帐户。需要明确的是，没有任何客户资产面临风险”

海妖安全更新：

2024 年 6 月 9 日，我们收到了安全研究人员发出的 Bug Bounty 计划警报。最初没有透露具体细节，但他们的电子邮件声称发现了一个「极其严重」的错误，使他们能够人为地夸大我们平台上的余额。

— 尼克·佩尔科科 (@c7 Five) 2024 年 6 月 19 日

到目前为止，一切都很正常，只是联系 Kraken 的研究人员所在的同一家安全公司 web3 在正式报告该漏洞之前，已经对该平台进行了多次黑客攻击，损失总计 300 万美元。

Percoco的贴文发表后，知名审计公司Certik立即对事件承担了责任，并透露了其在此事中的关键作用。

据称，Certik 通过进行大规模攻击，从 3 个不同帐户中提取大量 MATIC 代币，然后透过 Tornado Cash 混合器清理资金痕迹，「测试」了 Kraken 的防御机制。

 根据交易所安全经理解释，问题解决后，Kraken 要求 Certik 归还资金，但她最初拒绝了。

尽管如此，Certik 坚称其活动符合「白色骇客」的原则。

尽管 Certik 在与 Kraken 通信前 3 天进行了提款测试，但显然 Certik 并未提及 3 号帐户利用者在该事件中的角色。

发现漏洞的安全研究人员本来会因为发现了一个可能导致严重骇客攻击的重大缺陷而要求巨额赏金，但 Kraken 坚持要回他们的资金。

由于审计公司拒绝归还赃物，而且似乎确实已采取行动隐藏骇客攻击的证据，因此交易所决定将这种情况视为刑事案件，通知主管机关和执法部门。

web3安全公司要求交易所提供相当于该漏洞如果不被披露可能造成的金额的赏金，这激怒了交易所平台团队。

Percoco 在他的 X 个人资料中评论了所发生的事情，表达了他对 Certik 行为的所有反对：

「这不是白色骇客攻击，这是敲诈勒索」。

我们不会透露这家研究公司，因为他们的行为不值得被认可。我们将此视为刑事案件，并正在与执法机构进行相应协调。我们很庆幸这个问题被报道了，但这个想法也就到此为止了。

— 尼克·佩尔科科 (@c7 Five) 2024 年 6 月 19 日

Certik 否认：尽管部分员工受到 Kraken 团队的威胁，但资金仍被退回

Certik 在介绍自己是负责识别存款系统缺陷的公司后，立即否认了 Kraken 的报道，强调其“白色黑客”角色及其积极意图。

该公司透露，它发起了一次大规模骇客攻击，金额为 300 万美元，纯粹是为了测试交易所的防御能力，但它也强调，它从未拒绝归还战利品，而是希望确保一切都正确执行。

Certik 表示，她对该漏洞可能造成的潜在负面影响感到惊讶，尤其是 Kraken 的警报从未被触发。这在一个帖子中说： 

「数百万美元可以存入任何 Kraken 帐户。可以从帐户中提取大量加密货币（价值超过 100 万美元以上）并转换为有效加密货币。更糟的是，在多天的测试期间，没有触发任何警报」。

此外，审计公司解释说，交易所团队的一名成员威胁他们自己的研究人员，要求他们在不合理的时间范围内（6小时）归还这笔金额，但没有提供还款地址。

此事发生在骇客攻击几天后，两家公司通了电话，试图找到解决方案并解决问题。

CertiK 最近发现了@krakenfx 交易所中的一系列严重漏洞，这可能会导致数亿美元的损失。

从 @krakenfx 的存款系统中的一个发现开始，它可能无法区分不同的内部… pic.twitter.com/JZkMXj2ZCD

— CertiK (@CertiK) 2024 年 6 月 19 日

显然，引发混乱的是 Kraken 提出的赏金奖励金额，该金额被认为与所做的努力不相称，并且阻止了潜在的利用。根据 Kraken 发言人向 Coindesk 报告：

「我们真诚地让这些研究人员参与其中，根据十年来管理错误赏金计划的情况，我们为他们的努力提供了相当大的赏金。我们对这次经历感到失望，现在正在与执法部门合作，从这些安全研究人员那里追回资产。

今天，Certik 发布了另一篇文章，其中包含一些常见问题解答，以进一步澄清他们的立场并消除任何疑问。

该安全公司重申，它「始终」确认将归还被盗金额，并表示现在所有资金都已回到 Kraken 手中。

这些资金以 734.19215 ETH、29,001 USDT 和 1021.1 XMR 的形式退回给发送者，而交易所明确要求发送 155818.4468 MATIC、907400.1803 USDT、475.5557871 ETH7400.1803 USDT、475.5557871 ETH7400.1803 USDT、475.5557871 ETH740089.7030007903000070000000 美元。

对最近 CertiK-Kraken 白帽操作的问答：

1、真实用户是否有资金损失？
否。

2. 我们是否拒绝退还资金？
不。

- CertiK (@CertiK) 2024 年 6 月 20 日

Kraken 仍然坚定其「白色骇客」的道德理念，并坚持 Certik 实施的霸凌行为可以被认定为敲诈勒索。

交易所的赏金计划确实要求第三方发现问题，利用测试错误所需的最低金额（不执行 300 万美元的骇客攻击），归还资源，并提供有关漏洞的详细资讯。