安全公司變“駭客”，還原 Kraken 與 CertiK 爭議事件起因

當稱爲白帽的安全公司變成“駭客”，Web3 這個野蠻世界裡的黑白，似乎不再那麽涇渭分明

原文作者：深潮TechFlow

6月20日，今日的焦點話題屬於加密貨幣交易所 Kraken VS 區塊鏈安全公司 CertiK ，一場加密輿論紛爭正在上演，CertiK在X上被眾多行業知名人士和KOL怒斥爲敲詐勒索的駭客，究竟發生了什麽？

一直以來，美國加密交易所Kraken 設立有漏洞賞金計劃，獎勵提供安全漏洞訊息的人。

Kraken 首席安全官在X上表示，此前一位安全研究員通過漏洞賞金計劃向公司報告了一個嚴重的安全漏洞。

這個漏洞允許惡意攻擊者在未完成存款的情況下，在他們的Kraken帳戶中生成資産。在得知訊息後，Kraken團隊立即對漏洞進行了修複。

但是事後複盤發現，不對，來者不善。

這個提交報告的安全研究員，將其帳戶餘額增加了4美元，同時，這位安全研究員與另外兩人分享了這個漏洞，導致他們從Kraken帳戶中提取了接近300萬美元。

Kraken 於是嘗試與安全研究員合作歸還這些資金，但遭到拒絕，而是要求Kraken與他們公司的 BD 團隊（銷售代表）溝通，在Kraken 提供一個假設的可能損失金額之前，不同意歸還任何資金。這不是白帽駭客行爲，而是敲詐！

Kraken 安全團隊火氣攻心，他們認爲這些行爲不是白帽駭客，而是敲詐，並且決定將這件事視爲刑事案件，並與執法機構協調處理。

而這家拒不歸還資金的公司，你猜是誰？

沒錯，本文的另一個主角——安全公司 CertiK 。

CertiK 對該指控進行了回應，大意就是：

CertiK在Kraken交易所中發現了嚴重的安全漏洞，可能導致數億美元的損失。他們通過測試，發現了三個主要問題，更嚴重的是，在多天的測試期間，並未觸發任何警報。

在修復漏洞後，Kraken的安全運營團隊卻威脅CertiK員工要在不合理的時間内償還不匹配數量的加密貨幣，甚至沒有提供償還地址。

CertiK 並添加了事件的時間線，顯示最早從6月5日發現這個問題。

随著事件曝光，更多訊息被挖掘出來。

@0xBoboShanti 發現， Certik 安全研究員在推特上發布的一個地址早在 5 月 27 日就在進行探測和測試，這已經與 Certik 的事件時間表相矛盾了。

另外，Coinbase 執行董事@jconorgrogan 發現 Certik 將資産與專門用於清洗資産的混幣器Tornado進行交互，在Certik評論區表示，你們知道 Tornadocash 受到 OFAC （外國資産控制辦公室）制裁了吧？而且你們的註冊地在美國，對吧？

打開該事件在X的相關討論，罵聲一片，紛紛質疑CertiK從安全機構變成了敲詐勒索的駭客。

Hype Investments 創始人Hype表示：

“CertiK 從 Kraken 那裡偷走了 300 萬美元，向他們索要賞金並拒絕歸還現金，他們在一條推文中證實了這一切，現在他們正在將所有資金轉移到Tornado.cash ，以防被當局扣押。”

有著21萬粉絲的加密KOLAdam Cochran 表示，“Certik 剛剛承認自己是從 Kraken 竊取數據的安全公司，並試圖向他們勒索更多錢財。考慮到 Certik 審計經常遭到駭客攻擊，而現在又出現這種狀況。但 Certik 仍然存在，這真是太不可思議了。簡直就是罪犯。”

評論區一個吃瓜群衆@cryptopsychdoc則給予了一個有意思的比喻：

Certik 就像你抓到的那個出軌的女朋友：當你找她對質，她會把問題抛給你，並質問你爲什麽要翻她的手機。

Paradigm CTO 則轉發此前Certik此前的融資新聞戲谑道，“向投資夥伴們致以我的祝福，他們必須解釋爲什麽他們的投資組合公司會入侵美國交易所，竊取 300 萬美元，並通過 ofac 封殺的協議進行洗錢”。

根據此前的新聞，2022年4月，CertiK宣布完成8800萬美元B3輪融資，該輪融資由Insight Partners、Tiger Global、Advent International聯合領投，高盛、紅杉資本、Lightspeed等新老股東跟投。CertiK在過去9個月内已完成四輪融資，總融資額2.3億美元，估值20億美元。