昨晚,加密貨幣交易所 Kraken 和區塊鏈安全公司 CertiK 在社交媒體上就一系列嚴重的安全漏洞問題發生了公開對峙。

最初,CertiK 在 Kraken 發現了一系列嚴重漏洞,該漏洞源自最近 Kraken 的用戶體驗(UX)變化,該變化會在客戶資產結算前立即爲客戶賬戶記賬,並允許客戶實時交易加密貨幣市場,而 Kraken 暫未針對這種特定攻擊向量進行充分測試。

簡單來說,該漏洞允許惡意攻擊者在未完全完成存款的情況下,發起存款操作並在其賬戶中收到資金。

在 Kraken 對該漏洞進行檢查後,立即將其評估爲「關鍵」(Critical),並在 47 分鐘後由 Kraken 的專家團隊緩解了這個問題。隨後,Kraken 首席安全官 Nick Percoco 表示該問題被完全修復,並且將不會再次發生。

時間發生時間線,圖源:CertiK 官方 X

然而有趣的事情發生了,Nick Percoco指出CertiK 在此次「安全檢查」中套走了 Kraken 近 300 萬美元,而 CertiK 則對此表示堅決否認。

白帽行爲還是敲詐?

在 Kraken 的事後調查中發現,三個賬戶在幾天內利用了這一漏洞,其中一個賬戶通過身份認證(KYC)關聯到 CertiK 工作人員,他利用漏洞將其賬戶餘額增加了 4 美元。

理論上,生成 4 美元時就足以證明漏洞的存在,且該漏洞被 Kraken 評估爲「關鍵」(Critical),這就意味着只要退回生成的 4 美元,就能夠向 Kraken 申請 100 至 150 萬美元的賞金。

Kraken 漏洞賞金計劃的獎金。來源:Kraken

然而,此「安全研究員」卻選擇將該漏洞透露給了與他合作的另外兩個人,後者利用這個漏洞生成了更大金額的資金,最終從他們的 Kraken 賬戶提取了近 300 萬美元。

當 Kraken 向 CertiK 要求提供活動的詳細說明,創建鏈上活動的概念驗證,並安排歸還他們提取的資金時,CertiK 卻表示拒絕,並要求與其 BD 團隊通話。同時,CertiK 還表示在 Kraken 提供一個假設的可能損失金額之前,不同意歸還任何資金。

至此,Kraken 首席安全官 Nick Percoco 在推文中將 CertiK 的行爲標榜爲敲詐,並將此 300 萬美元的損失視爲「刑事案件」,目前正與執法部門協調追回資金。

隨後,CertiK 在 X 上爲自己的行爲辯護。

CertiK 對 Kraken 的測試主要圍繞三個問題,即惡意行爲者能否僞造存款交易到 Kraken 賬戶?惡意行爲者能否提取僞造的資金?大額提款請求可能觸發哪些風險控制和資產保護?而 CertiK 認爲 Kraken 交易所未通過所有這些測試,這表明 Kraken 的深度防禦系統在多個方面被破壞。

CertiK 表示,由於漏洞讓數百萬美元可以被存入任何 Kraken 賬戶,而在多天的測試期間,Kraken 沒有觸發任何警報,一直到 CertiK 的正式報告事件後才響應並鎖定了測試賬戶。

至於 Kraken 的 300 萬美元損失,CertiK 聲稱 Kraken 威脅了公司員工,Kraken 要求歸還的資金總額與其所盜取的加密貨幣「不匹配」。同時,CertiK 披露了全部存款地址,並表示會根據記錄將現有的資金轉移到 Kraken 能夠訪問的賬戶。

社區扒料更勁爆

這個一直被詬病的安全公司又出事了,加密社區迅速前排喫瓜。

Cyvers.AI 的創始人 Meir Dolev表示「據鏈上分析,在 Kraken 事件爆出 26 天前,就有相同的簽名哈希對 Coinbase 進行了類似的提款活動。另外,14 天前 Polygon 網絡上也出現了使用相同簽名哈希的轉賬行爲。」

Certik 此前聲稱是在 6 月 5 日才發現並利用了 Kraken 的漏洞,但鏈上證據似乎表明,它可能早已掌握該漏洞並實施了多次類似行爲。業內人士質疑 Certik 公佈的時間線是否屬實,它是否早已利用該漏洞長期轉移資金。這一發現無疑加劇了對 Certik 操守的質疑。

不僅如此,作爲安全公司的 CertiK,其安全性也在遭到質疑。

Synthetix 的 Adam Cochran表示,「CertiK 是徹頭徹尾的罪犯,其行爲已經完全背離了安全公司的職業操守。鑑於 CertiK 審計過的項目屢屢被黑客攻擊,該公司爲何還能存在至今?」

隨後的幾個小時內,Synthetix 再次對 CertiK 的 專業性和公信力提出嚴重的質疑。「CertiK 安全審計師利用職務之便,通過受制裁的 Tornado Cash 等渠道轉移和拋售資產,行爲模式與黑客組織無惡不作組織 Lazarus 相似。」

據披露,CertiK 的安全審計師不僅通過 Tornado Cash 轉移資產,還通過 ChangeNOW 拋售資產,與 Lazarus 黑客組織入侵加密協議後的常見做法如出一轍。有分析人士表示,Lazarus 入侵的 Certik 審計協議比其他任何協議都多,這引發了外界對 Certik 內部是否早已遭黑客滲透的質疑。

儘管目前尚無法確定整個 CertiK 公司是否參與其中,但這確實讓人懷疑 Certik 的安全研究團隊是否早已「受損」。

有相關人士指出,鑑於朝鮮黑客組織曾讓代理人利用 DeFi 協議尋找工作,他們是否也與 CertiK 的審計師「勾結」? 否則很難解釋,爲何一家擁有衆多知名投資者的美國公司,會勒索交易所並違反美國對洗錢協議的制裁。

Puffer Finance 的 陳劍表示,「有前員工透露,CertiK 高層過於重視盈利,價值觀出現偏差。該公司曾發行代幣後遭拋棄,令投資者蒙受損失。建議項目方謹慎選擇 CertiK 進行安全審計。」陳劍認爲 CertiK 基本成爲一家「用光環包裝且收費昂貴的蓋章公」,它審計過的項目屢屢出現安全問題。

此外,還有人披露「一些 CertiK 內部審覈員泄露了公司的機密信息和審計細節」。

對於 CertiK 的劣跡,多名業內人士狠批 CertiK「令人作嘔」、「不道德」、「不負責任」、「妄想」、「毫無價值」。大量加密社區成員加入了這場對 CertiK 的口誅筆伐,其中,前 OKX 員工紫夜表示:「有人踢到鐵板了。」

DegenBing.eth | Buji DAO直言吹捧 CertiK 的人非蠢即壞,「大家趕緊準備好爆米花,後續應該會很精彩」。社區用戶 @tayvano_ 也對 CertiK表示嘲諷,「CertiK 的行爲絕對沒有任何藉口,根本無法被視爲合法的白帽子測試」,並呼籲 CertiK「滾出去」。

CrertiK,只剩「謗滿天下」?

從社區反應中可以看出,這次事件裏的主人公 CertiK 已經不是第一次捲入爭議了。CertiK 誕生於 2017 年,曾經 Web3 安全領域的明星項目。其創始人是爲耶魯大學計算機系主任、終身教授邵中以及哥倫比亞大學計算機系教授顧榮輝,均爲安全領域的頂尖學者。

2021 年,CertiK 開始迅速發展,在不到一年的時間內拿了五次融資,囊括了高盛、老虎、軟銀、紅杉、高瓴等最豪華的資方,當年在 CoinMarketCa 所有經安全審計的 DeFi 項目中,CertiK 的市佔率達 70%,遠遠超過同行,其合作客戶包括 Aave、Polygon、Yearn Finance 和 Chiliz 等領先項目。

但另一半,自 CertiK 推出之後,其面臨的爭議也沒有斷過,社區一直質疑 CertiK 一邊佔有着 Web3 安全領域的絕大部分市場,一邊卻不能保證經手項目的安全性。甚至有人吐槽過,「CertiK 審計的未必都跑路,但是跑路的幾乎都是 CertiK 審計,而且都喜歡對外宣稱有升級,但實際結果大家都知道,以至於『CertiK 審計』幾乎成了避雷指南。」

2023 年 4 月,極客公園採訪了 CertiK CEO 顧榮輝,其用一句「譽滿天下,謗滿天下」迴應這些爭議。對於頻頻出現的安全問題,CertiK 都視其爲「不可避免的情況」,應對方式是公開安全審計報告,讓社區自發檢查,顧榮輝曾表示,不希望 CertiK 變成一個「章」、一個防盜的「證書」。

就在極客公園這篇採訪 CertiK 的報道發出後不久,基於 zkSync 的去中心化交易平臺 Merlin 被盜走約 182 萬美元,而在這之前,Merlin 剛剛通過了 CertiK 的審計,這次 CertiK 將 Merlin 攻擊歸咎於「流氓開發者」。

一個月後,DeFi 項目 Swaprum 在接受 CertiK 審計幾周後跑路,捲走了總額達 300 萬美元的客戶資金。社區將矛頭指向 CertiK,稱其批准了「又一陰謀」。

種種事故之外,社區也對於 CertiK 的技術壁壘產生質疑。

CertiK 利用形式化驗證和 AI 技術協作提供端到端的區塊鏈安全審計服務,簡單來說,就是通過形式驗證和手動驗證相結合,利用大語言模型自動檢查源代碼的問題,進行模擬攻擊,再由安全工程師對提出的問題進行反饋。

而創始人則對其機制充滿自信,「即使我們的技術不發展,但只要我們能見到更多的代碼、有更多的人對它進行標註,我們的引擎就會變得越來越好。然後我們的安全程度會越來越高,並有越來越多的客戶,而這又會讓引擎越來越好。就是這樣一個正循環。」

除了審計結果不可信這點,CertiK 的黑歷史還包括其發幣經歷,CertiK 曾在 2021 年推出過 Certik chain 及其代幣 CTK,但現在 Certik 官網上,已經找不到其代幣 CTK 的介紹。

據瞭解,CTK 當時共有兩輪私募輪,一輪額度 29%,價格爲 0.77 美元;二輪額度 9%,價格爲 1.9 美元。而 CTK 上線後,經過短暫衝鋒就開始了下跌模式,截止撰稿時,其價格爲 0.8 美元。

這次捲入「敲詐 Kraken」爭議後,儘管 Kraken 確實存在漏洞,社區的態度卻出奇的一致,紛紛歷數 CertiK 的過往事蹟。從擁有豪華融資陣容、估值 20 億美元的 Web3 安全領域明星項目,到陷入種種爭議、被視爲「避雷標籤」,CertiK 這幾年的經歷讓社區唏噓,也給還在場上的項目方提供了警示。