WEEX 唯客博客, 作者:jk,Odaily星球日報 美國當地時間 6 月 19 日,加密貨幣交易所 Kraken 和區塊鏈安全公司 CertiK 在社交媒體上就一系列嚴重的安全漏洞問題發生了公開對峙。 事件源於 Kraken 上一個被 CertiK 發現的漏洞:Kraken 首席安全官 Nick Percoco 在推特上披露,在其漏洞賞金計劃中收到了一份「極其嚴重」的漏洞報告,報告聲稱發現了一個可以人為增加賬戶餘額的漏洞。CertiK 稱其為對 Kraken 交易所的一次安全測試,而 Kraken 認為 CertiK 在中間利用漏洞獲利。雙方各執一詞,爭執不下,形成大型吃瓜現場。 Kraken 的事件披露 以下是 Kraken 首席安全官在 X 平台上發布的事件過程: 「 2024 年 6 月 9 日,我們收到了一位安全研究員通過漏洞賞金計劃發來的警報。起初沒有具體信息,但他們聲稱發現了一個「極其嚴重」的漏洞,可以讓他們在我們的平台上人為地增加餘額。 我們每天都會收到一些自稱「安全研究員」的人發來的虛假漏洞報告。對於任何運行漏洞賞金計劃的人來說,這都不是什麼新鮮事。然而,我們對此事非常重視,並迅速組建了一個跨職能團隊來調查這一問題。以下是我們的發現。 幾分鐘內,我們發現了一個孤立的漏洞。在特定情況下,這個漏洞允許惡意攻擊者在未完全完成存款的情況下,發起存款操作並在其賬戶中收到資金。 需要明確的是,客戶的資產從未面臨風險。然而,惡意攻擊者可以在一段時間內有效地在他們的 Kraken 賬戶中生成資產。 我們將這一漏洞評估為「關鍵」(Critical),並在一小時內(確切地說是 47 分鐘)由我們的專家團隊緩解了這個問題。幾小時內,該問題被完全修復,並且將不會再次發生。 我們的團隊發現,這個漏洞源自最近的用戶體驗(UX)變化,該變化會在客戶資產結算前立即為客戶賬戶記賬——並允許客戶實時交易加密貨幣市場。這一 UX 變化未針對這種特定攻擊向量進行充分測試。 在修補風險后,我們進行了徹底調查,迅速發現有三個賬戶在幾天內利用了這一漏洞。深入調查后,我們注意到其中一個賬戶通過身份認證(KYC)關聯到一位自稱為安全研究員的個人。 該個人在我們的資金系統中發現了這個漏洞,並利用它將其賬戶餘額增加了 4 美元。這足以證明漏洞的存在,向我們的團隊提交漏洞賞金報告,並根據我們的計劃條款獲得相當可觀的獎勵。 然而,這位「安全研究員」將這個漏洞透露給了與他合作的另外兩個人,他們利用這個漏洞欺詐性地生成了更大金額的資金。他們最終從他們的 Kraken 賬戶中提取了近 300 萬美元。這些資金來自 Kraken 的金庫,而非其他客戶的資產。 初始的漏洞賞金報告並未完全披露這些交易信息,因此我們聯繫了安全研究員,確認一些細節,以便獎勵他們成功發現了我們平台上的安全漏洞。 隨後,我們要求他們提供活動的詳細說明,創建鏈上活動的概念驗證,並安排歸還他們提取的資金。這是任何漏洞賞金計劃的常見做法。這些安全研究員拒絕了。 相反,他們要求與他們的 BD 團隊(即他們的銷售代表)通話,並在我們提供一個假設的可能損失金額之前,不同意歸還任何資金。這不是白帽黑客行為,而是敲詐! 我們在 Kraken 設立漏洞賞金計劃已有近十年。該計劃由內部運行,並由社區中一些最聰明的人才全職負責。我們的計劃與許多其他計劃一樣,有明確的規則: 不要提取超過證明漏洞所需的範圍。 展示你的工作(即提供概念驗證)。 提取的任何東西必須立即歸還。 我們從未在與合法研究員的合作中遇到任何問題,並且我們總是積極響應。 為了透明起見,我們今天向行業披露了這個漏洞。我們被指責不合理和不專業,因為要求「白帽黑客」歸還他們從我們這裡偷走的東西。這太難以置信了。 作為安全研究員,您的「黑客」許可是通過遵循您參與的漏洞賞金計劃的簡單規則來啟用的。忽視這些規則並敲詐公司會取消您的「黑客」許可。這會使您和您的公司成為罪犯。 我們不會透露這家研究公司的名字,因為他們的行為不值得認可。我們將此視為刑事案件,並與執法機構協調處理。我們感謝這一問題的報告,但僅此而已。 我們的漏洞賞金計劃繼續在 Kraken 的使命中發揮重要作用,並且是我們增強加密生態系統整體安全努力的關鍵部分。我們期待與未來的誠信行為者合作,並將此視為一個獨立的事件。」 CertiK 回應 儘管 Kraken 未對安全研究員所屬的公司發布具體名稱,幾小時之後,CertiK 在 X 平台上發布了對於此事件的回應。以下是 CertiK 官方 X 平台發布的回應: 「CertiK 最近在 Kraken 交易所中發現了一系列嚴重漏洞,這些漏洞可能導致數億美元的損失。 從 Kraken 的存款系統發現問題開始,該系統可能無法區分不同的內部轉賬狀態,我們進行了徹底調查,重點關注以下三個問題: 1. 惡意行為者能否偽造存款交易到 Kraken 賬戶? 2. 惡意行為者能否提取偽造的資金? 3. 大額提款請求可能觸發哪些風險控制和資產保護? 根據我們的測試結果:Kraken 交易所未通過所有這些測試,這表明 Kraken 的深度防禦系統在多個方面被破壞。數百萬美元可以被存入任何 Kraken 賬戶。超過 100 萬美元的偽造加密貨幣可以從賬戶中提取並轉換為有效加密貨幣。更糟糕的是,在多天的測試期間,沒有觸發任何警報。Kraken 在我們正式報告事件后才響應並鎖定了測試賬戶。 發現后,我們通知了 Kraken,其安全團隊將其分類為「關鍵」級別,這是 Kraken 最嚴重的安全事件分類級別。 在最初成功識別和修復漏洞后,Kraken 的安全運營團隊威脅個別 CertiK 員工在不合理的時間內償還不匹配數量的加密貨幣,甚至沒有提供償還地址。 本著透明的精神以及我們對Web3社區的承諾,我們公開這些信息以保護所有用戶的安全。我們敦促 Kraken 停止對白帽黑客的任何威脅。 我們共同面對風險,保護Web3的未來。」 之後,CertiK 披露了全部的時間線和存款地址。 CertiK 公布的時間線。來源:CertiK 官方 X 同時,CertiK 還表示,由於 Kraken 未提供償還地址且要求的償還金額完全不匹配,我們根據記錄將現有的資金轉移到 Kraken 能夠訪問的賬戶。 其他消息與後續評論 從背景信息上來看,Kraken 的漏洞賞金計劃的獎勵數額確實可觀,類似於本次事件的最高安全事件級別的賞金在 100-150 萬美元之間。這與 Kraken 聲稱的三百萬美元數額差額不小,因此,有些人在評論區稱「我看黑客就不應該還「,另一些人則回復「你是想拿著一百萬的賞金還是拿著三百萬的非法所得去蹲大牢?」 Kraken 漏洞賞金計劃的獎金。來源:Kraken 鏈上偵探 ZachXBT 說:這個故事越往後越離譜了(Story only gets more wild as it goes on)。 還有一位推特用戶@trading_axe 另闢蹊徑地說:「我覺得(CertiK)搞砸了……沒有說他們這是偷竊,但是一個小偷會拿走他們能拿的一切東西然後逃離這裡。我覺得他們搞砸之處在於只拿了三百萬美元;如果他們用這個 bug 偷走了一個億以上,那麼再還回去,就會顯得是白帽了(言下之意就是,那樣才會讓他們顯得像個救世主/擁有主動權)。但是,你只拿了三百萬而且現在要被迫還回去,這就顯得很弱勢。」 WEEX唯客交易所官網:weex.com
