加密貨幣審計師 CertiK 週三表示,其員工發現並利用了美國交易所 Kraken 中的一個漏洞,損失了 300 萬美元,這引起了人們的關注。
當 CertiK 隨後表示,它已將資金退還給美國交易所,這是所謂的白帽行動的一部分時,該公司遭到了一位特別惱火的參與者——Kraken 的反對。
“這不是白帽黑客,這是敲詐勒索!”Kraken 首席安全官 Nick Percoco 週三在 X 帖子中表示。
Percoco 表示,發現該漏洞的人表示,在 Kraken 披露該漏洞可能造成的損失之前,他們不會退還任何資金。
CertiK 很快就回應了 Kraken 的聲明。“他們公開指控我們盜竊,甚至直接威脅我們的員工,這是完全不可接受的。”
CertiK 漏洞的持續時間異常長,且損失高達 300 萬美元,這引發了一系列問題。通常,網絡防禦的白帽測試會竊取少量資金,只是爲了證明漏洞的存在。
競爭對手審計公司 OpenZeppelin 的解決方案主管 Michael Lewellen 向 DL News 表示:“爲了白帽黑客的利益,收取這麼高的費用實在是太不可思議了。”
Lewellen 表示,安全研究人員已經因爲這種行爲被解僱。
他說:“如果任何其他知名審計公司的安全研究人員犯下此類罪行,他們會被立即解僱並被剝奪權利。”
“除非出現緊急危險而沒有時間通知團隊,否則你絕不會竊取客戶的資金,即使出現這種情況,你也要承擔很大的風險,而許多審計公司出於這些原因都不願意承擔這種風險。”
“一旦發現問題,你必須伸出援手,確保用戶的安全。”
安全研究員 Pascal Caversaccio
獨立安全研究員 Pascal Caversaccio 表示,CertiK 對 Kraken 系統的測試持續了數天,這很奇怪。這個問題應該在幾分鐘內就能解決。
“一旦發現問題,就必須立即採取措施保障用戶的安全,”他告訴 DL News。“這太愚蠢了。不僅從安全角度,而且從商業角度來看都是如此。”
存在其他異常。
Onchain 記錄顯示,一個與 CertiK 關聯的地址向 DeFi 協議 Tornado Cash 發送了資金,該協議受到了美國財政部外國資產控制辦公室 (OFAC) 的制裁。
龍捲風現金角度
儘管 CertiK 已將資產返還給 Kraken,但通過 Tornado Cash 發送部分資產可能會違反美國製裁。根據 OFAC 網站,此類行爲的罰款可能超過數百萬美元。
Lewellen 表示,使用 Tornado Cash 進行白帽黑客攻擊很奇怪。
“我從未聽說過白帽黑客會使用 Tornado Cash,尤其是考慮到制裁風險,”他說。“通常情況下,除非你已經犯罪,並且違反制裁的風險大於制裁風險,否則你不會在制裁後使用 Tornado Cash。”
CertiK 從 Kraken 提取的其他資金被髮送到 ChangeNOW,這是一家不需要了解客戶檢查的加密貨幣交易所。CertiK 還將從 Kraken 提取的 USDT 穩定幣換成了 ETH。
加密安全專家泰勒·莫納漢 (Taylor Monahan) 在 X 上表示:“如果你是白帽黑客,你就不要這麼做。”
CertiK 尚未立即迴應置評請求,也沒有公開談論這些交易。
Tim Craig 是 DL News 的 DeFi 記者。有小貼士嗎?請給他發送電子郵件:tim@dlnews.com。
