事件背景
2024年6月,加密貨幣社區被一場突如其來的爭執所震動,這場爭執的主角是著名的區塊鏈安全公司CertiK和知名加密貨幣交易所Kraken。Kraken 於 6 月 9 日收到漏洞賞金報告,稱發現了一個「極其嚴重」的漏洞。雖然團隊在數小時時內修復了漏洞,但在深入調查的過程中發現該漏洞被三個賬戶利用,導致 Kranken 財庫近 300 萬美元資金被提走。
Kraken將此事視爲刑事案件,計劃與執法機構進行協調處理。隨後安全公司 CertiK稱是其發現了 Kraken 中的安全漏洞,且該漏洞可能會導致數億美元的損失。一時間,對峙雙方各執一詞,Kraken 將 CertiK 的行爲視爲「犯罪」,而 CertiK 則要求 Kraken「停止對白帽黑客的任何威脅」。
這一事件不僅在技術層面引起了激烈的討論,更涉及法律與道德層面的爭議。比特叢林將全面回顧事件的全過程,深入分析發現的漏洞技術細節,並探討其潛在的法律與道德影響。
對峙事件時間線
隨着事件的進展,逐漸揭露了更多細節,我們在此基礎上整理了事件的詳細時間線:
一、5月27日,CertiK的安全研究人員對Kraken進行測試並發現漏洞(儘管CertiK聲稱是在6月5日才發現並利用了Kraken的漏洞,但鏈上證據表明,它早已掌握該漏洞)。
二、6月9日:Kraken收到一份漏洞賞金報告,聲稱發現了一個“極其嚴重”的漏洞,但未提供具體細節。
三、Kraken的安全團隊迅速組建跨職能團隊調查漏洞,並發現漏洞的具體情況,即在特定條件下,攻擊者可以在未完成存款的情況下增加賬戶餘額。
四、Kraken的安全團隊在47分鐘內緩解了該漏洞的風險,並在數小時內完全修復了漏洞。
五、Kraken發現有3個賬戶利用了該漏洞,CertiK先利用漏洞獲得了4美元的加密貨幣(理論上,生成 4 美元時就足以證明漏洞的存在,且該漏洞被 Kraken 評估爲‘關鍵’,這就意味着只要退回生成的 4 美元,就能夠向 Kraken 申請 100 至 150 萬美元的賞金)。
六、Kraken進一步調查發現,除CertiK公司提供的地址之外,CertiK還利用漏洞非法獲取了近300萬美元的資金。
七、Kraken曾聯繫CertiK公司,要求其詳細說明活動過程,並歸還從漏洞中提取的資金。然而,CertiK拒絕了這一要求,稱除非按照漏洞可能造成的損失金額支付獎賞,否則不會退還任何資金。後來,CertiK退還了部分資金,但並非全部。
八、Kraken發佈聲明,指責CertiK的行爲已超出白帽黑客的範疇,並指控其進行敲詐。
九、CertiK公開回應,稱其行爲是爲了增強網絡安全,併發布了完整的測試時間線和相關細節。
然而,業內人士提出了證據質疑CertiK公佈的時間線的真實性,指稱可能存在CertiK早已利用該漏洞長期轉移資金的情況。
十、業內人士發推稱CertiK 曾對 OKX 和 Coinbase 做過類似測試,以確定這兩個交易所是否有 Kraken 相同的漏洞。此外,CertiK的相關地址與Tornado合約有過交互,這個地址可能利用Tornado的混幣服務掩蓋資金來源和去向,從而規避法律監管和制裁措施。這種行爲不僅是對法律的挑戰,也進一步增加了CertiK在此次事件中的法律風險和道德爭議。
十一、事件經過持續發酵後,近日CertiK稱已退還所有資金,且此次事件不涉及真實用戶資金損失。Kraken已迴應確認,所有被盜資金已全部返還。
儘管目前事件暫告一段落,但未來的進展仍是未知數。或許最終此事將以某種形式的和解結束。接下來,比特叢林將深入分析本次攻擊的技術細節,詳細揭示漏洞的原理與攻擊調用棧,並探討其可能帶來的法律和道德影響。
漏洞原理與攻擊過程
黑客攻擊調用棧
黑客首先部署了攻擊合約
0xe06A1966ADde5A37D9Dad97AA9D8cf669F970185
隨後調用該合約的函數0xa04a4c3b,通過低級函數call調用攻擊合約的另一個函數0xb6852ff9。
在函數0xb6852ff9中,攻擊者向地址
0xa172342297f6e6d6e7fe5df752cbde0aa655e61c充值200MATIC,然後故意觸發revert錯誤。
儘管內部轉賬事件已生成,由於錯誤的觸發,實際上資金並未到賬。
當合約使用send、低級函數call、delegatecall或staticcall時,如果發生異常,它們會返回false作爲返回值,而不是將異常返回給父函數。這種機制使得外部交易成功而內部交易失敗。
隨後,攻擊者甚至部署了新的合約,並利用Aave閃電貸進行大額的黑客盜竊攻擊,以進一步獲取利益。
通過這一系列攻擊流程,最終
0xa172342297f6e6d6e7fe5df752cbde0aa655e61c等地址多次從攻擊中獲利。
Kraken漏洞的根本原因是其後端程序未能正確區分內部轉賬失敗情況,導致誤判攻擊者虛假支付事件,並未及時觸發異常監控和告警。爲預防類似事件再次發生,建議交易所改進其交易追蹤機制,具體措施包括:
嚴格區分內外部交易:確保內部交易失敗時不會誤認爲成功。
強化異常處理機制:對所有異常情況進行嚴格驗證和處理。
實時監控與報警:對異常大額和頻繁小額轉賬進行實時監控,並及時發出警報。
定期安全審計:定期對智能合約和後端系統進行安全審計,及時發現並修復潛在漏洞。
法律、道德與安全挑戰
該事件引發了廣泛的輿論關注和社區討論,主要集中在以下幾個方面:
CertiK的職業道德問題:作爲安全公司,合規操作至關重要。然而,CertiK在處理客戶資金和披露漏洞時,並未完全符合合規標準。其自主利用漏洞進行資金轉移的行爲被認爲跨越了道德和職業倫理的邊界。儘管聲稱是爲了檢測和強化網絡安全,但這種做法是否符合合規和道德標準備受到廣泛質疑。
社區對安全公司的信任:此類事件對整個安全行業的信任產生了負面影響。用戶和投資者對於安全公司的獨立性、透明度和道德標準提出了更高的要求,希望能夠確保其財產和數據的安全性。
法律影響
在法律層面,事件可能涉及以下幾個關鍵點:
盜竊和未經授權訪問的法律責任:CertiK和相關安全研究人員可能面臨盜竊和未經授權訪問的指控。如果他們的行爲被認定爲非法訪問和資金轉移,那麼他們可能會因此面臨刑事或民事訴訟,取決於法院和監管機構的調查和判定,確認他們是否違反了相關法律法規。
利用Tornado的混幣服務掩蓋資金流向的法律責任:CertiK的相關地址與Tornado合約有過交互,特別是涉及的地址被發現位於美國的制裁名單上。如果這些操作在美國境內進行,可能涉及規避美國的制裁法案。這加劇了其法律風險和道德爭議。利用Tornado的混幣服務掩蓋資金流向可能進一步違反法律監管和制裁措施,這種行爲不僅是對法律的挑戰,也可能導致嚴重的法律後果,進一步增加了CertiK在此次事件中的法律風險和道德爭議。
綜上所述,事件不僅僅是技術漏洞的修復和資金返還,更涉及到法律責任、道德標準和行業規範的重要問題,對加密貨幣社區和安全行業產生了深遠的影響和警示作用。
ABOUT BIT JUNGLE
比特叢林(BitJungle),是一家區塊鏈安全公司,致力於數字資產安全保護、安全事件調查以及被盜數字資產找回等安全產品及服務;服務內容涵蓋數字資產溯源(鍾馗系統)、安全事件調查、智能合約審計、安全評估、反洗錢風控等。
比特叢林,擁有豐富的安全調研經驗和先進的數據分析及數據挖掘工具,曾多次配合警方偵破區塊鏈行業的多起重大安全被盜案件,其中單起案件涉案金額超過數億美金。憑藉資深專業經驗,比特叢林得到多地警方以及區塊鏈業內合作的廣泛認可與支持。
服務客戶主要分佈在中國、中國香港、加拿大、美國、新加坡、日本等國家和地區,公司目前在香港、深圳、上海和青島均設有職場。
掃描下方二維碼關注我們,獲取更多區塊鏈資訊。如有 安全事件調查、數字資產被盜挽回或 安全審計 需求,可通過以下方式聯繫我們:
官方郵箱 contact@bitjungle.io
官方推特 @bitjungle_team
官方網址 https://www.bitjungle.cn/
