发现漏洞先吃再报?加密安全独角兽CertiK与交易所Kraken公开撕逼
2024-06-20 • By okx交易所
昨晚,加密货币交易所Kraken和区块链安全公司CertiK在社交媒体上就一系列严重的安全漏洞问题发生了公开对峙。
最初,CertiK在Kraken发现了一系列严重漏洞,该漏洞源自最近Kraken的用户体验(UX)变化,该变化会在客户资产结算前立即为客户账户记账,并允许客户实时交易加密货币市场,而Kraken暂未针对这种特定攻击向量进行充分测试。
简单来说,该漏洞允许恶意攻击者在未完全完成存款的情况下,发起存款操作并在其账户中收到资金。
在Kraken对该漏洞进行检查后,立即将其评估为“关键”(Critical),并在47分钟后由Kraken的专家团队缓解了这个问题。随后,Kraken首席安全官NickPercoco表示该问题被完全修复,并且将不会再次发生。
时间发生时间线,图源:CertiK官方X然而有趣的事情发生了,NickPercoco指出CertiK在此次“安全检查”中套走了Kraken近300万美元,而CertiK则对此表示坚决否认。
白帽行为还是敲诈?在Kraken的事后调查中发现,三个账户在几天内利用了这一漏洞,其中一个账户通过身份认证(KYC)关联到CertiK工作人员,他利用漏洞将其账户余额增加了4美元。
理论上,生成4美元时就足以证明漏洞的存在,且该漏洞被Kraken评估为“关键”(Critical),这就意味着只要退回生成的4美元,就能够向Kraken申请100至150万美元的赏金。
Kraken漏洞赏金计划的奖金。来源:Kraken然而,此“安全研究员”却选择将该漏洞透露给了与他合作的另外两个人,后者利用这个漏洞生成了更大金额的资金,最终从他们的Kraken账户提取了近300万美元。
当Kraken向CertiK要求提供活动的详细说明,创建链上活动的概念验证,并安排归还他们提取的资金时,CertiK却表示拒绝,并要求与其BD团队通话。同时,CertiK还表示在Kraken提供一个假设的可能损失金额之前,不同意归还任何资金。
至此,Kraken首席安全官NickPercoco在推文中将CertiK的行为标榜为敲诈,并将此300万美元的损失视为“刑事案件”,目前正与执法部门协调追回资金。
随后,CertiK在X上为自己的行为辩护。
CertiK对Kraken的测试主要围绕三个问题,即恶意行为者能否伪造存款交易到Kraken账户?恶意行为者能否提取伪造的资金?大额提款请求可能触发哪些风险控制和资产保护?而CertiK认为Kraken交易所未通过所有这些测试,这表明Kraken的深度防御系统在多个方面被破坏。
CertiK表示,由于漏洞让数百万美元可以被存入任何Kraken账户,而在多天的测试期间,Kraken没有触发任何警报,一直到CertiK的正式报告事件后才响应并锁定了测试账户。
至于Kraken的300万美元损失,CertiK声称Kraken威胁了公司员工,Kraken要求归还的资金总额与其所盗取的加密货币“不匹配”。同时,CertiK披露了全部存款地址,并表示会根据记录将现有的资金转移到Kraken能够访问的账户。
社区扒料更劲爆这个一直被诟病的安全公司又出事了,加密社区迅速前排吃瓜。
Cyvers.AI的创始人MeirDolev表示“据链上分析,在Kraken事件爆出26天前,就有相同的签名哈希对Coinbase进行了类似的提款活动。另外,14天前Polygon网络上也出现了使用相同签名哈希的转账行为。”
Certik此前声称是在6月5日才发现并利用了Kraken的漏洞,但链上证据似乎表明,它可能早已掌握该漏洞并实施了多次类似行为。业内人士质疑Certik公布的时间线是否属实,它是否早已利用该漏洞长期转移资金。这一发现无疑加剧了对Certik操守的质疑。
不仅如此,作为安全公司的CertiK,其安全性也在遭到质疑。
Synthetix的AdamCochran表示,“CertiK是彻头彻尾的罪犯,其行为已经完全背离了安全公司的职业操守。鉴于CertiK审计过的项目屡屡被黑客攻击,该公司为何还能存在至今?”
随后的几个小时内,Synthetix再次对CertiK的专业性和公信力提出严重的质疑。“CertiK安全审计师利用职务之便,通过受制裁的TornadoCash等渠道转移和抛售资产,行为模式与黑客组织无恶不作组织Lazarus相似。”
据披露,CertiK的安全审计师不仅通过TornadoCash转移资产,还通过ChangeNOW抛售资产,与Lazarus黑客组织入侵加密协议后的常见做法如出一辙。有分析人士表示,Lazarus入侵的Certik审计协议比其他任何协议都多,这引发了外界对Certik内部是否早已遭黑客渗透的质疑。
尽管目前尚无法确定整个CertiK公司是否参与其中,但这确实让人怀疑Certik的安全研究团队是否早已“受损”。
有相关人士指出,鉴于朝鲜黑客组织曾让代理人利用DeFi协议寻找工作,他们是否也与CertiK的审计师“勾结”?否则很难解释,为何一家拥有众多知名投资者的美国公司,会勒索交易所并违反美国对洗钱协议的制裁。
PufferFinance的陈剑表示,“有前员工透露,CertiK高层过于重视盈利,价值观出现偏差。该公司曾发行代币后遭抛弃,令投资者蒙受损失。建议项目方谨慎选择CertiK进行安全审计。”陈剑认为CertiK基本成为一家“用光环包装且收费昂贵的盖章公”,它审计过的项目屡屡出现安全问题。
此外,还有人披露“一些CertiK内部审核员泄露了公司的机密信息和审计细节”。
对于CertiK的劣迹,多名业内人士狠批CertiK“令人作呕”、“不道德”、“不负责任”、“妄想”、“毫无价值”。大量加密社区成员加入了这场对CertiK的口诛笔伐,其中,前OKX员工紫夜表示:“有人踢到铁板了。”
DegenBing.eth|BujiDAO直言吹捧CertiK的人非蠢即坏,“大家赶紧准备好爆米花,后续应该会很精彩”。社区用户@tayvano_也对CertiK表示嘲讽,“CertiK的行为绝对没有任何借口,根本无法被视为合法的白帽子测试”,并呼吁CertiK“滚出去”。
CrertiK,只剩“谤满天下”?从社区反应中可以看出,这次事件里的主人公CertiK已经不是第一次卷入争议了。CertiK诞生于2017年,曾经Web3安全领域的明星项目。其创始人是为耶鲁大学计算机系主任、终身教授邵中以及哥伦比亚大学计算机系教授顾荣辉,均为安全领域的顶尖学者。
2021年,CertiK开始迅速发展,在不到一年的时间内拿了五次融资,囊括了高盛、老虎、软银、红杉、高瓴等最豪华的资方,当年在CoinMarketCa所有经安全审计的DeFi项目中,CertiK的市占率达70%,远远超过同行,其合作客户包括Aave、Polygon、YearnFinance和Chiliz等领先项目。
但另一半,自CertiK推出之后,其面临的争议也没有断过,社区一直质疑CertiK一边占有着Web3安全领域的绝大部分市场,一边却不能保证经手项目的安全性。甚至有人吐槽过,“CertiK审计的未必都跑路,但是跑路的几乎都是CertiK审计,而且都喜欢对外宣称有升级,但实际结果大家都知道,以至于‘CertiK审计’几乎成了避雷指南。”
2023年4月,极客公园采访了CertiKCEO顾荣辉,其用一句“誉满天下,谤满天下”回应这些争议。对于频频出现的安全问题,CertiK都视其为“不可避免的情况”,应对方式是公开安全审计报告,让社区自发检查,顾荣辉曾表示,不希望CertiK变成一个“章”、一个防盗的“证书”。
就在极客公园这篇采访CertiK的报道发出后不久,基于zkSync的去中心化交易平台Merlin被盗走约182万美元,而在这之前,Merlin刚刚通过了CertiK的审计,这次CertiK将Merlin攻击归咎于“流氓开发者”。
一个月后,DeFi项目Swaprum在接受CertiK审计几周后跑路,卷走了总额达300万美元的客户资金。社区将矛头指向CertiK,称其批准了“又一阴谋”。
种种事故之外,社区也对于CertiK的技术壁垒产生质疑。
CertiK利用形式化验证和AI技术协作提供端到端的区块链安全审计服务,简单来说,就是通过形式验证和手动验证相结合,利用大语言模型自动检查源代码的问题,进行模拟攻击,再由安全工程师对提出的问题进行反馈。
而创始人则对其机制充满自信,“即使我们的技术不发展,但只要我们能见到更多的代码、有更多的人对它进行标注,我们的引擎就会变得越来越好。然后我们的安全程度会越来越高,并有越来越多的客户,而这又会让引擎越来越好。就是这样一个正循环。”
除了审计结果不可信这点,CertiK的黑历史还包括其发币经历,CertiK曾在2021年推出过Certikchain及其代币CTK,但现在Certik官网上,已经找不到其代币CTK的介绍。
据了解,CTK当时共有两轮私募轮,一轮额度29%,价格为0.77美元;二轮额度9%,价格为1.9美元。而CTK上线后,经过短暂冲锋就开始了下跌模式,截止撰稿时,其价格为0.8美元。
这次卷入“敲诈Kraken”争议后,尽管Kraken确实存在漏洞,社区的态度却出奇的一致,纷纷历数CertiK的过往事迹。从拥有豪华融资阵容、估值20亿美元的Web3安全领域明星项目,到陷入种种争议、被视为“避雷标签”,CertiK这几年的经历让社区唏嘘,也给还在场上的项目方提供了警示。
