上個月,當 Kraken 首席安全官 Nick Percoco 得知該交易所遭到黑客攻擊,損失了 300 萬美元時,他正在 40,000 英尺的高空飛行,準備去享受應得的假期。
但 Percoco 並沒有放棄在日本的計劃,而是主動出擊,幫助這家全球第七大加密貨幣交易所應對最嚴重的安全危機之一。
“我剛好在飛機上能使用 Wi-Fi,”Percoco 告訴 DL News。“我當時正在和同事進行一些臨時溝通,閱讀新聞,在 Twitter 上發帖。然後看到了這個,並引導他們去尋找漏洞賞金。”
6 月 19 日,Kraken 透露,一位獨立安全研究人員報告了該交易所漏洞賞金計劃的一個嚴重漏洞。
這些程序向攻擊者提供金錢,以換取他們找出項目中的漏洞。
正是這一漏洞讓研究人員可以隨意將資金存入 Kraken 賬戶。該偵探爲安全和加密審計公司 CertiK 工作,該公司表示已發現此漏洞。
Percoco 表示,在五天的時間裏,CertiK 從交易所提取了價值 300 萬美元的加密貨幣。
這非常不尋常。安全公司不應該花這麼長時間和這麼多錢來利用一個漏洞,Percoco 說。
資金最終被退還,漏洞也在 47 分鐘內得到修復。儘管如此,即使以加密貨幣的標準來看,這仍然是一個令人震驚的事件。
這是對業內最老牌交易所之一的一次大規模入侵。Kraken 成立於 2011 年,它的崛起與比特幣的制度化密不可分。
1 月份,11 只不同的現貨比特幣 ETF 獲得批准。幾個月後,Kraken 開始籌集資金,準備進行可能的首次公開募股。
這次攻擊也很奇怪。CertiK 是一家致力於保護加密貨幣代碼的公司,它似乎打破了幾乎所有有關漏洞賞金的行業標準。在整個事件過程中,他們甚至試圖與 Kraken 的安全團隊進行銷售通話。
CertiK 尚未立即迴應 DL News 的評論請求。
Percoco 在推文中表示,CertiK 是在敲詐交易所,而不是白帽黑客。
基本原則
漏洞賞金計劃在加密和科技行業中很常見。
任何有價值的加密項目都會留出資金用於對其智能合約進行多次審計,並留出另一筆資金用於獎勵那些發現漏洞的狡猾但有道德的黑客。
上個月,一名研究人員因發現第一層網絡 Sei 上的一個漏洞而獲得了 200 萬美元。對於像最近發生的這種嚴重漏洞,Kraken 最多會支付 150 萬美元。
自 20 世紀 90 年代末以來一直從事安全研究的 Percoco 表示,Kraken 的程序已經存在了十年。它的收件箱裏充斥着那些想快速獲得報酬的人發送的虛假漏洞。
他甚至認爲CertiK的報告是假的。
“他們說‘你需要儘快聯繫我們’,但沒有聯繫方式。我甚至無法直接發信息,”他說。“有點懷疑這是否是有人想騙我們。”
紅旗
儘管如此,負責日夜監控收件箱的五人團隊必須仔細檢查每一份報告。由於 Kraken 的每日交易量超過 10 億美元,因此風險很大。
佩爾科科說,缺乏聯繫信息並不是唯一的危險信號。
賞金收集者需要遵循四條報告漏洞的規則。首先,他們必須在發現漏洞後立即向公司報告。
第二,賞金收集者必須證明他們可以利用該漏洞。第三,在提供證據時,他們必須只收取足以證明漏洞存在的金額。
最後,他們必須與該公司合作重新測試漏洞,看看該公司是否能夠修復它。
Percoco 表示,CertiK 採取了不同的方法,打破了所有四條規則。
加密貨幣的成長煩惱
隨着貝萊德和富達涌入該領域,安全和漏洞賞金成爲人們關注的焦點。但與其他行業(最佳實踐可持續數年)不同,在加密貨幣領域,最佳實踐可能僅持續幾天。
儘管發生了最新事件,但各公司仍在向漏洞賞金計劃投入大量資金。
據漏洞賞金平臺 HackerOne 稱,加密貨幣交易所 Crypto.com 爲一個嚴重漏洞懸賞 8 萬美元。託管服務 Fireblocks 爲類似漏洞懸賞高達 25 萬美元。
如果你能闖入交易所,即使是上市的 Coinbase 也會支付 100 萬美元。
漏洞賞金費用昂貴,有時也是笨重的安全網,但考慮到今年已有 6.64 億美元被盜,它們顯然還是有必要的。
Liam Kelly 是 DL News 的 DeFi 記者。聯繫方式:liam@dlnews.com。
