在本文中，我們討論一個令人難以置信的故事：幾天前，審計公司 Certik 發現加密貨幣交易所 Kraken 的安全系統存在一個漏洞，可能導致嚴重的黑客攻擊。

在進行了三天的測試並執行了價值 300 萬美元的“白帽黑客”攻擊後，Certik 聯繫了 Kraken 並告知了該漏洞，但最初拒絕立即退還被盜金額。

該加密貨幣交易所立即聯繫了執法部門，將該情況視爲刑事案件，而該加密安全公司則堅稱這是“賞金計劃”的典型測試。現在資金似乎已經退還。

下面讓我們詳細看看一切。

針對加密貨幣交易所 Kraken 的 300 萬美元駭客攻擊：Certik 負責，但拒絕退還資金

這個故事始於2024 年6 月9 日，當時加密貨幣交易所Kraken 收到了一位「安全研究人員」的非正式通信，該研究人員聲稱在該平台上發現了一個可能導致大規模駭客攻擊的漏洞。

正如 Kraken 首席安全官 Nick Percoco 在事後推文中所報道的那樣，研究人員強調了存款安全系統中的一個缺陷（無法區分內部轉賬的不同狀態），該缺陷允許用戶誇大其餘額並提取比實際可用的更多的硬幣。交易所立即採取行動解決該問題，專家團隊僅用了 47 分鐘就修復了這個錯誤。

以下是 Percoco 的報導：

「該漏洞允許惡意攻擊者在適當的情況下在我們的平台上發動存款，並在沒有完全完成存款的情況下將資金存入他們的帳戶。需要明確的是，沒有任何客戶資產面臨風險”

海妖安全更新：

2024 年 6 月 9 日，我們收到了安全研究人員發出的 Bug Bounty 計畫警報。最初沒有透露具體細節，但他們的電子郵件聲稱發現了一個「極其嚴重」的錯誤，使他們能夠人為地誇大我們平台上的餘額。

— 尼克·佩爾科科 (@c7 Five) 2024 年 6 月 19 日

到目前為止，一切都很正常，只是聯繫 Kraken 的研究人員所在的同一家安全公司 web3 在正式報告該漏洞之前，已經對該平台進行了多次黑客攻擊，損失總計 300 萬美元。

Percoco的貼文發表後，知名審計公司Certik立即對事件承擔了責任，並透露了其在此事中的關鍵作用。

據稱，Certik 通過進行大規模攻擊，從 3 個不同帳戶中提取大量 MATIC 代幣，然後透過 Tornado Cash 混合器清理資金痕跡，「測試」了 Kraken 的防禦機制。

 根據交易所安全經理解釋，問題解決後，Kraken 要求 Certik 歸還資金，但她最初拒絕了。

儘管如此，Certik 堅稱其活動符合「白色駭客」的原則。

儘管 Certik 在與 Kraken 通信前 3 天進行了提款測試，但顯然 Certik 並未提及 3 號帳戶利用者在該事件中的角色。

發現漏洞的安全研究人員本來會因為發現了一個可能導致嚴重駭客攻擊的重大缺陷而要求巨額賞金，但 Kraken 堅持要回他們的資金。

由於審計公司拒絕歸還贓物，而且似乎確實已採取行動隱藏駭客攻擊的證據，因此交易所決定將這種情況視為刑事案件，通知主管機關和執法部門。

web3安全公司要求交易所提供相當於該漏洞如果不被披露可能造成的金額的賞金，這激怒了交易所平台團隊。

Percoco 在他的 X 個人資料中評論了所發生的事情，表達了他對 Certik 行為的所有反對：

「這不是白色駭客攻擊，這是敲詐勒索」。

我們不會透露這家研究公司，因為他們的行為不值得被認可。我們將此視為刑事案件，並正在與執法機構進行相應協調。我們很慶幸這個問題被報道了，但這個想法也就到此為止了。

— 尼克·佩爾科科 (@c7 Five) 2024 年 6 月 19 日

Certik 否認：儘管部分員工受到 Kraken 團隊的威脅，但資金仍被退回

Certik 在介紹自己是負責識別存款系統缺陷的公司後，立即否認了 Kraken 的報道，強調其“白色黑客”角色及其積極意圖。

該公司透露，它發起了一次大規模駭客攻擊，金額為 300 萬美元，純粹是為了測試交易所的防禦能力，但它也強調，它從未拒絕歸還戰利品，而是希望確保一切都正確執行。

Certik 表示，她對該漏洞可能造成的潛在負面影響感到驚訝，尤其是 Kraken 的警報從未被觸發。這在一個帖子中說： 

「數百萬美元可以存入任何 Kraken 帳戶。可以從帳戶中提取大量加密貨幣（價值超過 100 萬美元以上）並轉換為有效加密貨幣。更糟的是，在多天的測試期間，沒有觸發任何警報」。

此外，審計公司解釋說，交易所團隊的一名成員威脅他們自己的研究人員，要求他們在不合理的時間範圍內（6小時）歸還這筆金額，但沒有提供還款地址。

此事發生在駭客攻擊幾天后，兩家公司通了電話，試圖找到解決方案並解決問題。

CertiK 最近發現了@krakenfx 交易所中的一系列嚴重漏洞，這可能會導致數億美元的損失。

從 @krakenfx 的存款系統中的一個發現開始，它可能無法區分不同的內部… pic.twitter.com/JZkMXj2ZCD

— CertiK (@CertiK) 2024 年 6 月 19 日

顯然，引發混亂的是 Kraken 提出的賞金獎勵金額，該金額被認為與所做的努力不相稱，並且阻止了潛在的利用。根據 Kraken 發言人向 Coindesk 報告：

「我們真誠地讓這些研究人員參與其中，根據十年來管理錯誤賞金計劃的情況，我們為他們的努力提供了相當大的賞金。我們對這次經歷感到失望，現在正在與執法部門合作，從這些安全研究人員那裡追回資產。

今天，Certik 發布了另一篇文章，其中包含一些常見問題解答，以進一步澄清他們的立場並消除任何疑問。

該安全公司重申，它「始終」確認將歸還被盜金額，並表示現在所有資金都已回到 Kraken 手中。

這些資金以 734.19215 ETH、29,001 USDT 和 1021.1 XMR 的形式退回給發送者，而交易所明確要求發送 155818.4468 MATIC、907400.1803 USDT、475.5557871 ETH7400.1803 USDT、475.5557871 ETH7400.1803 USDT、475.5557871 ETH740089.7030007903000070000000 美元。

對最近 CertiK-Kraken 白帽操作的問答：

1、真實用戶是否有資金損失？
否。

2. 我們是否拒絕退還資金？
不。

- CertiK (@CertiK) 2024 年 6 月 20 日

Kraken 仍然堅定其「白色駭客」的道德理念，並堅持 Certik 實施的霸凌行為可以被認定為敲詐勒索。

交易所的賞金計畫確實要求第三方發現問題，利用測試錯誤所需的最低金額（不執行 300 萬美元的駭客攻擊），歸還資源，並提供有關漏洞的詳細資訊。