CertiK “對壘” Kraken：白帽黑客的尺度，到底怎樣才合適？

作者：jk，Odaily星球日報

美國當地時間 6 月 19 日，加密貨幣交易所 Kraken 和區塊鏈安全公司 CertiK 在社交媒體上就一系列嚴重的安全漏洞問題發生了公開對峙。

事件源於 Kraken 上一個被 CertiK 發現的漏洞：Kraken 首席安全官 Nick Percoco 在推特上披露，在其漏洞賞金計劃中收到了一份"極其嚴重"的漏洞報告，報告聲稱發現了一個可以人為增加帳戶餘額的漏洞。 CertiK 稱其為對 Kraken 交易所的一次安全測試，而 Kraken 認為 CertiK 在中間利用漏洞獲利。雙方各執一詞，爭執不下，形成大型吃瓜現場。

Kraken 的事件披露

以下是 Kraken 首席安全官在 X 平台上發布的事件過程：

" 2024 年 6 月 9 日，我們收到了一位安全研究員通過漏洞賞金計劃發來的警報。起初沒有具體信息，但他們聲稱發現了一個"極其嚴重"的漏洞，可以讓他們在我們的平台上人為地增加餘額。

我們每天都會收到一些自稱"安全研究員"的人發來的虛假漏洞報告。對於任何運行漏洞賞金計劃的人來說，這都不是什么新鮮事。然而，我們對此事非常重視，並迅速組建了一個跨職能團隊來調查這一問題。以下是我們的發現。

幾分鐘內，我們發現了一個孤立的漏洞。在特定情況下，這個漏洞允許惡意攻擊者在未完全完成存款的情況下，發起存款操作並在其帳戶中收到資金。

需要明確的是，客戶的資產從未面臨風險。然而，惡意攻擊者可以在一段時間內有效地在他們的 Kraken 帳戶中生成資產。

我們將這一漏洞評估為"關鍵"（Critical），並在一小時內（確切地說是 47 分鐘）由我們的專家團隊緩解了這個問題。幾小時內，該問題被完全修復，並且將不會再次發生。

我們的團隊發現，這個漏洞源自最近的用戶體驗（UX）變化，該變化會在客戶資產結算前立即為客戶帳戶記帳------並允許客戶實時交易加密貨幣市場。這一 UX 變化未針對這種特定攻擊向量進行充分測試。

在修補風險後，我們進行了徹底調查，迅速發現有三個帳戶在幾天內利用了這一漏洞。深入調查後，我們注意到其中一個帳戶通過身份認證（KYC）關聯到一位自稱為安全研究員的個人。

該個人在我們的資金系統中發現了這個漏洞，並利用它將其帳戶餘額增加了 4 美元。這足以證明漏洞的存在，向我們的團隊提交漏洞賞金報告，並根據我們的計劃條款獲得相當可觀的獎勵。

然而，這位"安全研究員"將這個漏洞透露給了與他合作的另外兩個人，他們利用這個漏洞欺詐性地生成了更大金額的資金。他們最終從他們的 Kraken 帳戶中提取了近 300 萬美元。這些資金來自 Kraken 的金庫，而非其他客戶的資產。

初始的漏洞賞金報告並未完全披露這些交易信息，因此我們聯繫了安全研究員，確認一些細節，以便獎勵他們成功發現了我們平台上的安全漏洞。

隨後，我們要求他們提供活動的詳細說明，創建鏈上活動的概念驗證，並安排歸還他們提取的資金。這是任何漏洞賞金計劃的常見做法。這些安全研究員拒絕了。

相反，他們要求與他們的 BD 團隊（即他們的銷售代表）通話，並在我們提供一個假設的可能損失金額之前，不同意歸還任何資金。這不是白帽黑客行為，而是敲詐！

我們在 Kraken 設立漏洞賞金計劃已有近十年。該計劃由內部運行，並由社區中一些最聰明的人才全職負責。我們的計劃與許多其他計劃一樣，有明確的規則：

• 不要提取超過證明漏洞所需的範圍。

• 展示你的工作（即提供概念驗證）。

• 提取的任何東西必須立即歸還。

我們從未在與合法研究員的合作中遇到任何問題，並且我們總是積極響應。

為了透明起見，我們今天向行業披露了這個漏洞。我們被指責不合理和不專業，因為要求"白帽黑客"歸還他們從我們這裡偷走的東西。這太難以置信了。

作為安全研究員，您的"黑客"許可是通過遵循您參與的漏洞賞金計劃的簡單規則來啟用的。忽視這些規則並敲詐公司會取消您的"黑客"許可。這會使您和您的公司成為罪犯。

我們不會透露這家研究公司的名字，因為他們的行為不值得認可。我們將此視為刑事案件，並與執法機構協調處理。我們感謝這一問題的報告，但僅此而已。

我們的漏洞賞金計劃繼續在 Kraken 的使命中發揮重要作用，並且是我們增強加密生態系統整體安全努力的關鍵部分。我們期待與未來的誠信行為者合作，並將此視為一個獨立的事件。"

CertiK 回應

儘管 Kraken 未對安全研究員所屬的公司發布具體名稱，幾小時之後，CertiK 在 X 平台上發布了對於此事件的回應。以下是 CertiK 官方 X 平台發布的回應：

"CertiK 最近在 Kraken 交易所中發現了一系列嚴重漏洞，這些漏洞可能導致數億美元的損失。

從 Kraken 的存款系統發現問題開始，該系統可能無法區分不同的內部轉賬狀態，我們進行了徹底調查，重點關注以下三個問題：

1. 惡意行為者能否偽造存款交易到 Kraken 帳戶？

2. 惡意行為者能否提取偽造的資金？

3. 大額提款請求可能觸發哪些風險控制和資產保護？

根據我們的測試結果：Kraken 交易所未通過所有這些測試，這表明 Kraken 的深度防禦系統在多個方面被破壞。數 百萬美元可以被存入任何 Kraken 帳戶。超過 100 萬美元的偽造加密貨幣可以從帳戶中提取並轉換為有效加密貨幣。更糟糕的是，在多天的測試期間，沒有觸發任何警報。Kraken 在我們正式報告事件後才響應並鎖定了測試帳戶。

發現後，我們通知了 Kraken，其安全團隊將其分類為"關鍵"級別，這是 Kraken 最嚴重的安全事件分類級別。

在最初成功識別和修復漏洞後，Kraken 的安全運營團隊威脅個別 CertiK 員工在不合理的時間內償還不匹配數量的加密貨幣，甚至沒有提供償還地址。

本著透明的精神以及我們對Web3社區的承諾，我們公開這些信息以保護所有用戶的安全。我們敦促 Kraken 停止對白帽黑客的任何威脅。

我們共同面對風險，保護Web3的未來。"

之後，CertiK 披露了全部的時間線和存款地址。

CertiK 公布的時間線。來源：CertiK 官方 X

同時，CertiK 還表示，由於 Kraken 未提供償還地址且要求的償還金額完全不匹配，我們根據記錄將現有的資金轉移到 Kraken 能夠訪問的帳戶。

其他消息與後續評論

從背景信息上來看，Kraken 的漏洞賞金計劃的獎勵數額確實可觀，類似於本次事件的最高安全事件級別的賞金在 100-150 萬美元之間。這與 Kraken 聲稱的三百萬美元數額差額不小，因此，有些人在評論區稱"我看黑客就不應該還"，另一些人則回覆"你是想拿著一百萬的賞金還是拿著三百萬的非法所得去蹲大牢？"

Kraken 漏洞賞金計劃的獎金。來源：Kraken

鏈上偵探 ZachXBT 說：這個故事越往後越離譜了（Story only gets more wild as it goes on）。

還有一位推特用戶@trading_axe 另辟蹊徑地說："我覺得（CertiK）搞砸了……沒有說他們這是偷竊，但是一個小偷會拿走他們能拿的一切東西然後逃離這裡。我覺得他們搞砸之處在於只拿了三百萬美元；如果他們用這個 bug 偷走了一個億以上，那麼再還回去，就會顯得是白帽了（言下之意就是，那樣才會讓他們顯得像個救世主/擁有主動權）。但是，你只拿了三百萬而且現在要被迫還回去，這就顯得很弱勢。"