CertiK 解释道德骇客立场，Kraken 承认全额回馈资金

智慧合约安全公司 CertiK 继续声称其针对 Kraken 交易所的行为是道德的，并且它正在尝试估计安全缺陷的全部范围。测试人员还声称他们以实物方式返还了所有资金，并且没有勒索 Kraken。 

CertiK 团队制定了一份新声明来反驳 Kraken 之前的一些说法。测试人员拒绝了赏金要求，表示他们的首要任务是修复将资金列印到帐户的漏洞。 

阅读：随著对 Certik 的批评增多，Kraken 追回了 300 万美元

所有提取的资金均来自 Kraken 的冷钱包，没有用户账户受到影响。这些币是根据 CertiK 自己的计算和交易记录退还的。

近期 CertiK-Kraken 白帽行动问答：1. 是否有真实用户损失资金？没有。加密货币是凭空产生的，没有真实 Kraken 用户的资产直接参与我们的研究活动。2. 我们是否拒绝退还资金？没有。在我们与… 的沟通中

— CertiK (@CertiK) 2024 年 6 月 20 日

CertiK 最具争议的行为包括向 Tornado Cash 发送一些资金的记录。这家代币混合器此前曾面临美国财政部的制裁，美国财政部禁止居住在美国的人与其互动。

CertiK 非常清楚 Tornado Cash 的使用情况，并将转账作为其漏洞利用的证据。此前，CertiK 还追踪过 Tornado Cash 的使用情况，将其作为旧漏洞利用的一部分。Certik 的主要关注点之一仍然是智能合约的审计，智能合约通常包含类似的逻辑缺陷，导致无限制的代币创建。

CertiK 对待道德黑客的方式让观察者感到不安，因为小额资金被直接发送到 Tornado Cash 来测试漏洞。在 Kraken 最终通知其漏洞的实际规模之前，Kraken 测试过程中的一些步骤在社交媒体上泄露。

漏洞赏金问题尚未讨论，但 CertiK 一直声称不需要赏金来退还资金。到目前为止，Kraken 的安全团队尚未宣布对 CertiK 进行任何赏金。

Kraken 承认接收了所有资金

CertiK 在中心化的 Kraken 平台上生成余额，并代表这些账户进行提款。

Kraken 声称 CertiK 的回报不准确，这是最具争议的。然而，几天后这一说法被驳斥。Kraken 首席安全官 Nick Percoco 宣布，扣除交易费用后，资金已全部退还。

更新：我们现在可以确认资金已退还（减去少量费用损失）。https://t.co/cHkjPt3m2A

— Nick Percoco (@c7five) 2024 年 6 月 20 日

CertiK 的会计报告显示只有 ETH、USDT 和 XMR 被提现，而 Kraken 还声称有 155,818.44 MATIC 也被提现和混入。提现金额估计约为 300 万美元，不过 Certik 使用了少量资金来证明这一漏洞。

对漏洞的进一步分析表明，CertiK 生成了不存在的 MATIC 余额，但交易失败，没有资金离开 Kraken 冷钱包。生成的 MATIC 只是一个内部漏洞，并没有导致真正的 Polygon 代币的转移。

#Certik：乍一看，Certik 的漏洞似乎包括：1. 创建合约并向其中存入资金2. 生成 LogFeeTransfer() 事件3. @krakenfx 在其存款地址上扫描 LogFeeTransfer()，但似乎无法验证 MATIC 是否真的存在 pic.twitter.com/QI4bdXJdbz

— Naïm Boubziz (@BrutalTrade) 2024 年 6 月 20 日

在某些情况下，可以模拟资金的存在，因为其他协议已经受到了闪电贷的攻击。

CertiK 声称，6 月份漏洞利用再次活跃起来，应用程序和协议中窃取的资金超过 3000 万美元。该数字不包括针对个人钱包的攻击。

制裁多年后，Tornado Cash 仍在运营

Tornado Cash 混合器仍在为漏洞提供便利，因为资金在经过混合器后无法追踪。即使将钱包和地址列入黑名单，也无法阻止黑客混合 ETH 并将其发送到新的未知钱包。

另请阅读：Tornado Cash 诉讼背后的组织败给美国财政部

自 2022 年以来，Tornado Cash 资源有限，但该服务仍在运营。

Tornado Cash 创始人 Alexey Pertsev 于 2024 年 5 月被判刑，可能被判处多年监禁。然而，制裁和禁令并不妨碍任何人使用混合器，这不会影响美国以外的司法管辖区。

一些代币，例如 USDC，已将所有 Tornado Cash 合约列入黑名单。发送到合约的任何资金都无法再次恢复。USDC 还以其冻结代币的中心化能力而闻名。对于 Kraken 来说，提现到 Tornado Cash 合约地址的能力也是一个主要漏洞。大多数代币生产商选择不对代币进行控制，导致代币容易被盗，并且无法通过混合恢复。

Hristina Vasileva 撰写的 Cryptopolitan 报道