加密安全公司 CertiK 表示，一名惡意員工應對 6 月份與其利用加密貨幣交易所 Kraken 相關的多筆 Tornado Cash 交易負責。

6 月 19 日的事件中，該公司從交易所提取了約 300 萬美元，這引起了當時加密安全研究人員的強烈抗議，他們質疑爲什麼與 CertiK 相連的錢包會通過受批准的 DeFi 協議發送資金。

CertiK 的一位發言人告訴 DL News：“這些交易並非惡意執行的，也與從 Kraken 提取的資金無關”，並證實該公司的一名員工使用了 Tornado Cash。

該發言人表示，一名團隊成員未經授權，將自己的少量資金髮送到 Tornado Cash，並立即將這些資金提取到他自己擁有的幾個新地址。

Tornado Cash 讓用戶打破區塊鏈交易之間的可追溯性鏈條。

儘管 CertiK 堅稱該事件是一次旨在測試 Kraken 安全性的“白帽”行動，但目前尚不清楚爲何一家以加密代碼安全爲基礎的企業在調查和測試漏洞時似乎違反了行業標準。

“深感抱歉”

此前，CertiK 於 8 月 16 日就該事件發表了首份官方聲明，稱已採取措施“將類似誤解再次發生的風險降至最低”。

其他網絡安全專家對此表示懷疑。

安全聯盟成員哈德森·詹姆森 (Hudson Jameson) 在談到 CertiK 在消息應用程序 Telegram 上發表的聲明時表示：“那篇博客幾乎沒有道歉的意思。”

此後，CertiK 採取了更爲歉意的語氣。

該公司發言人向 DL News 表示：“我們對 Kraken 事件給我們的客戶和社區帶來的不便和混亂深表歉意。”

8 月 16 日的聲明並未解釋爲何資產會從與該公司關聯的錢包轉移到 Tornado Cash。

當被問及爲什麼該團隊成員首先通過 Tornado Cash 發送小額資金時，CertiK 並未做出迴應。

儘管 Tornado Cash 具有合法用途，但由於其在洗錢者中的受歡迎程度，監管機構對其進行了嚴格審查，其中最突出的是朝鮮網絡犯罪集團 Lazarus Group。

2022 年，Tornado Cash 受到美國外國資產控制辦公室（OFAC）的制裁。根據 OFAC 網站，違反制裁的罰款可能超過數百萬美元。

由於 CertiK 是一家在美國註冊的公司，因此幾乎肯定會受到此類制裁。

而 Tornado Cash 交易並不是此次災難中唯一未解之謎。

另一個揮之不去的問題是，爲什麼 CertiK 在發現這個漏洞後選擇從 Kraken 提取如此大筆資金（近 300 萬美元）。

CertiK 表示：“我們的團隊這樣做是爲了測試 Kraken 的保護和風險控制的極限。據我們所知，沒有觸發任何警報，也沒有觸發任何限制。”

行業標準規定，在確認存在漏洞後，發現者應儘快報告 - 而不是繼續利用它來測試理論極限。

哪裏出了問題？

CertiK 是一家加密安全公司，自稱已爲 4,700 多個項目提供服務，該公司表示，在實施政策和培訓變革的同時，已對參與 Kraken 漏洞攻擊的團隊成員採取了紀律處分。

該公司表示，這包括確保內部遵守所有政策和適用法律，包括 OFAC 制裁。

去年，在一系列全行業裁員行動中，CertiK 裁掉了約 15% 的員工。

CertiK 將此次裁員描述爲“爲應對不斷變化的市場動態而進行的戰略性勞動力調整”。該公司拒絕透露此次裁員是否影響了其內部流程的質量。

Tim Craig 是 DL News 駐愛丁堡的 DeFi 通訊員。如需建議，請發送電子郵件至 tim@dlnews.com。