CertiK vs. Kraken：白帽駭客的適當標準是什麼？

原創｜Odaily星球日報

新增一名作者

美國當地時間6月19日，加密貨幣交易所Kraken與區塊鏈安全公司CertiK就一系列嚴重安全漏洞在社群媒體上發生公開對峙。

事件源自於CertiK在Kraken上發現的漏洞：Krakens首席安全長Nick Percoco在Twitter上揭露 他在其漏洞賞金計劃中收到了一份極為嚴重的漏洞報告，該報告聲稱發現了一個可以人為增加帳戶餘額的漏洞。 CertiK 稱之為 安全測試 Kraken交易所認為，CertiK利用該漏洞獲利。雙方各持己見，無法達成解決方案，導致大規模吃瓜場面。

Kraken 的揭露

以下是Kraken首席安全長在X平台發布的事件流程：

「2024 年 6 月 9 日，我們透過我們的錯誤賞金計畫收到了安全研究人員的警報。最初沒有具體說明，但他們聲稱發現了一個「極其嚴重」的漏洞 將允許他們人為地誇大我們平台上的餘額。

我們每天都會收到自稱安全研究人員的假漏洞報告。對於任何運行錯誤賞金計劃的人來說，這並不是什麼新鮮事。然而，我們非常認真地對待這個問題，並迅速組建了一個跨職能團隊來調查這個問題。這是我們的發現。

幾分鐘之內，我們發現了一個孤立的漏洞，在某些情況下，該漏洞可能允許惡意行為者發起存款並在其帳戶中接收資金，而無需完全完成存款。

需要明確的是，客戶的資產從未面臨風險。 然而，惡意行為者可以在一段時間內在其 Kraken 帳戶中有效地產生資產。

我們將此漏洞評為嚴重，並在一小時內（確切地說是 47 分鐘）我們的專家團隊緩解了這個問題。幾個小時內，該問題已完全解決，並且不會再次發生。

我們的團隊發現，此漏洞源於最近的用戶體驗 (UX) 更改，該更改會在資產結算之前立即記入客戶帳戶，從而允許客戶即時交易加密貨幣市場。此使用者體驗變更尚未針對此特定攻擊媒介進行充分測試。

修補漏洞後，我們進行了徹底調查，很快就發現了三個在幾天內利用漏洞的帳戶。經過進一步調查，我們注意到其中一個帳戶透過 KYC 與一名自稱是安全研究員的個人相關聯。

此人在我們的資金系統中發現了此漏洞 並用它增加了他的帳戶餘額$4。 這些證據足以向我們的團隊提交錯誤賞金報告，並根據我們的計畫條款獲得可觀的獎勵。

然而，安全研究人員向與他一起工作的另外兩名人員披露了該漏洞，他們利用該漏洞以欺詐方式籌集了大量資金。 他們最終從 Kraken 帳戶中提取了近 $3 百萬。這些資金來自 Krakens 金庫，而不是其他客戶的資產。

最初的錯誤賞金報告並未完全揭露這些交易，因此我們聯繫了安全研究人員以確認一些細節，以便我們可以獎勵他們成功發現我們平台上的安全漏洞。

然後，我們要求他們提供其活動的詳細描述，創建鏈上活動的概念驗證，並安排他們提取的資金的返還。這是任何錯誤賞金計劃的常見做法。安全研究人員拒絕了。

相反，他們要求與他們的 BD 團隊（即他們的銷售代表）交談，並且在我們提供假設的可能損失金額之前不同意退還任何資金。這不是白帽駭客攻擊，這是敲詐勒索！

Kraken 的 bug 賞金計畫已經有近十年了。該計劃在內部運行，並由社區中一些最聰明的人全職領導。與許多其他計劃一樣，我們的計劃有明確的規則：

• 不要提取超出證明漏洞所需的內容。

• 展示您的作品（即提供概念證明）。

• 任何撤回的東西都必須立即歸還。

我們與合法研究人員的合作從未遇到任何問題，我們始終積極回應。

出於透明度考慮，我們今天向業界披露了此漏洞。我們因要求白帽駭客歸還從我們這裡竊取的東西而被指責為不合理且不專業。這太令人難以置信了。

作為安全研究人員，您的駭客許可證是透過遵循您參與的錯誤賞金計畫的簡單規則來啟用的。這使您和您的公司成為犯罪分子。

我們不會透露研究公司的名稱，因為他們的行為不值得被認可。我們將此視為刑事案件並與執法部門協調。我們感謝對此問題的報道，但僅此而已。

我們的錯誤賞金計畫繼續在 Kraken 的使命中發揮重要作用，也是我們增強加密生態系統整體安全性努力的關鍵部分。我們期待未來與誠信的參與者合作，並將將此視為一個獨立事件。

認證回應

儘管Kraken沒有公佈該安全研究員所屬公司的具體名稱，但幾個小時後，CertiK在X平台上發布了針對該事件的回應。以下為CertiK官方X平台發佈的回應：

「CertiK 最近發現 Kraken 交易所存在一系列嚴重漏洞，可能導致數億美元的損失。

從發現Kraken充值系統可能無法區分不同內部轉帳狀態的問題開始，我們進行了徹底排查，重點在於以下三個問題：

1. 惡意行為者是否可以偽造 Kraken 帳戶的存款交易？

2. 惡意行為者可以提取假資金嗎？

3. 大額提現可能會觸發哪些風險控制和資產保護？

根據我們的測試結果： Kraken 交易所未能通過所有這些測試，這表明 Kraken 的縱深防禦系統受到多種方式的損害。 數百萬美元可以存入任何 Kraken 帳戶。超過 $1 百萬的假加密貨幣可以從帳戶中提取並轉換為有效的加密貨幣。更糟的是， 在多天的測試期間沒有觸發警報。 在我們正式報告事件後，Kraken 做出了回應並鎖定了測試帳戶。

發現後，我們通知了 Kraken，其安全團隊將其歸類為“嚴重”，這是 Kraken 最嚴重的安全事件分類等級。

在最初成功識別並修復漏洞後，Kraken 的安全營運團隊威脅個別 CertiK 員工在不合理的時間內償還不匹配數量的加密貨幣，甚至沒有提供還款地址。

本著透明的精神和我們對 Web3 社群的承諾，我們將這些資訊公開以保護所有使用者的安全。我們敦促 Kraken 停止對白帽駭客的任何威脅。

我們共同面對風險並保護 Web3 的未來。

隨後，CertiK 披露了整個時間表和充值地址。

CertiK 發佈的時間表。來源：CertiK官方X

同時，CertiK也表示，由於Kraken沒有提供還款地址，且要求的還款金額根本不相符，我們根據記錄將現有資金轉至Kraken可存取的帳戶。

其他新聞和後續評論

從背景資訊來看，Krakens bug賞金計畫的獎勵金額確實相當可觀。 最高安全事件等級賞金在 100 萬至 150 萬美元之間。 這與Kraken聲稱的300萬美元相差甚遠。因此，有人在留言區表示，我認為駭客不應該還錢，而另一些人則回覆說，你是願意拿100萬賞金，還是拿300萬非法所得坐牢？

Kraken bug 賞金計畫獎勵。來源：海妖

連鎖偵探 ZachXBT 說：隨著故事的發展，故事只會變得更加瘋狂。

另一位Twitter 用戶@trading_axe 採取了不同的方法，他說：「我認為（CertiK）搞砸了……並不是說他們偷了東西，而是小偷會拿走他們能拿走的一切然後逃跑。我認為他們只拿了$3百萬就搞砸了；如果他們利用這個漏洞竊取了超過 $100 百萬，那麼將其歸還會讓他們看起來像一頂白帽子（意味著這會讓他們看起來像一個救世主/擁有主動權）。但你只拿了$3萬，現在被迫歸還，這讓你顯得很軟弱。

本文來自網路：CertiK vs. Kraken：白帽駭客的合適標準是什麼？

相關：誕生於邊緣：去中心化算力網路如何賦能加密貨幣和人工智慧？

原作者：Jane Doe、陳力 原來源：優幣資本 1 AI 與加密貨幣的交集 5 月 23 日，晶片巨頭英偉達發布 2025 財年第一季財報。其中，數據中心收入比去年增加了4,27%，達到驚人的US$226億。英偉達能夠憑藉一己之力拯救美國股市的財務表現背後，是全球科技公司為了在AI賽道上競爭而爆發的算力需求。越是頂尖科技公司在AI賽道上雄心勃勃的佈局，其對算力的需求就越是指數級增長。根據TrendForces預測，2024年需求...