Kraken和CertiK就300萬美元的白帽操作資金發生爭議
Hassan Shittu
最後更新時間:
2024年6月20日09:03 EDT
|
閱讀時間3分鐘
CertiK和Kraken最近的衝突揭示了一些重大問題,圍繞著一個安全漏洞利用事件展開,結果Certik的研究團隊未經授權地從Kraken的庫房中提款了大約300萬美元。
雙方提出了不同的敘述,引發了關於道德黑客行為、通信協議以及對發現漏洞的適當處理方式的重要問題。
爭議的起因
Kraken最近由於一個安全研究團隊利用了一個漏洞而損失了約300萬美元,而這個研究團隊最初是報告了這個漏洞的。
Kraken的首席安全官Nicholas Percoco指責這個團隊在勒索,聲稱他們要求對被盜資金給予獎勵,並且拒絕歸還這筆資金,除非Kraken同意支付潛在損害的一個猜測數額。
根據Percoco的說法,這個漏洞最早是在6月9日報告的,使得這個研究團隊能夠從Kraken的庫房提款超過300萬美元。儘管向Kraken報告這個嚴重的安全漏洞,但這個團隊還是利用了這個漏洞。
Kraken證實被盜的資產來自他們的庫房,並向用戶保證他們的資金是安全的。此外,該交易所正在與執法部門合作尋找被盜的資金。
Percoco繼續說,參與這個漏洞利用的帳戶之一已完成了“了解您的客戶”(KYC)驗證。懷疑的研究團隊最初展示了一筆價值4美元的加密貨幣轉賬來證明這個漏洞,足以從Kraken那裡獲得一筆獎勵。然而,接下來提款了近300萬美元引起了道德擔憂。
CertiK後來自稱為參與的團隊,並聲稱Kraken威脅了他們的員工。Percoco表示失望,指出Kraken要求歸還資金的要求被指責不專業。
CertiK-Kraken白帽操作的爭議
關於CertiK和Kraken之間最近爭議的性質以及雙方所採取的行動,已經出現了一些重要問題。
因此,CertiK站出來澄清。
CertiK表示,他們的研究活動未涉及任何真實的Kraken用戶的資產,因為這些加密貨幣是從無中生有的。儘管受到指責,但CertiK一直向Kraken保證他們會歸還這筆資金,他們也確實這樣做了。
然而,歸還的總金額與Kraken的要求不一致。CertiK歸還了734.19215 ETH,29,001 USDT和1021.1 XMR,而Kraken要求的是155,818.4468 MATIC,907,400.1803 USDT,475.5557871 ETH和1089.794737 XMR。
CertiK解釋說,他們進行多次大規模測試的原因是為了評估Kraken的保護和風險控制的極限。CertiK進一步指出,儘管在幾天內進行了價值近300萬美元的加密貨幣測試,但並沒有觸發任何警報。
該安全團隊聲稱已迅速向Kraken披露了所有的漏洞細節,根據他們的報告,Kraken在47分鐘內修復了這個問題。他們還表示,他們沒有參與Kraken的獎勵計劃,也沒有意圖尋求獎勵。他們的首要任務是確保問題得到解決。
儘管他們沒有向Kraken提交完整的交易清單,但他們提供了從第一天起的大額存款地址,使得Kraken能夠識別所有交易並鎖定所有相關帳戶。CertiK還公開了所有存款交易。
社區反應
CertiK周圍的爭議引起了加密社區的強烈反應。像Adam Cochran和Erik Voorhees這樣的知名人物也對這一情況發表了評論。Cochran指出,CertiK的安全審計員通過受到制裁的Tornado Cash轉移資產,並通過ChangeNOW拋售資產,這是與Lazarus等黑客組織相關的模式。他進一步聲稱,“Lazarus已經黑入了比其他任何受CertiK審計的協議更多的CertiK審計協議”。
在討論中,一些人提醒該公司,Tornado Cash是美國外國資產控制辦公室(OFAC)批准的工具,警告使用它可能會招致法律麻煩。作為一家美國公司,使用美國制裁的工具可能會給CertiK帶來嚴重的法律問題。
Erik Voorhees對制裁的相關性提出了質疑,如果CertiK不是總部設在美國的公司。Cochran回應道,CertiK的聯合創始人是美國教授,該公司的總部也位於美國。
社區成員對這一情況的嚴重性表示擔憂。Twitter用戶@ToroTheDog強調了違反OFAC法規的嚴重性,並建議CertiK立即尋求法律援助。人們進一步對該公司歸還資金的意圖以及將資金發送到Tornado Cash的原因提出了問題。
與此同時,Kraken向用戶保證他們的資金從未受到威脅,並致力於追回被盜資產。該交易所對CertiK持堅定態度,指責該公司存在不道德行為,並敦促歸還所有被利用的資金。
在Google新聞上關注我們
