区块链安全公司 CertiK 近期揭露了其在加密货币交易所 Kraken 发现的一个严重漏洞,并公开了随后的争议过程。同时,CertiK 坚决否认了 Kraken 对其的敲诈勒索指控,并表示将退还用于测试的资金。
漏洞的发现与采取的措施
CertiK 表示,其研究人员于 6 月 5 日发现 Kraken 的存款系统存在一个漏洞,该漏洞可能允许恶意行为者伪造存款交易并提取虚假资金。CertiK 随即展开了深入调查和一系列测试,以验证漏洞的实际风险。
CertiK 的测试揭示了一个惊人的结果:数百万美元可以存入任何 Kraken 账户,且价值超过 100 万美元的伪造加密货币可以被提取并转换成有效货币。在数天的测试期间,这些操作没有触发任何警报。Kraken 直到几天后才对事件做出回应,并锁定了测试账户。
产生争议及造成损失
尽管最初 CertiK 和 Kraken 成功沟通并采取措施修复漏洞,但情况随后恶化。6 月 18 日,Kraken 被指控威胁 CertiK 员工,要求在不合理的时间内偿还“不匹配”的金额,且未提供相关的钱包地址。
Kraken 首席安全官 Nick Percoco 于 6 月 19 日透露,由于该漏洞,其钱包损失了近 300 万美元。他指出,6 月 9 日,Kraken 收到一名“安全研究员”的匿名举报,揭露了资金系统中的严重漏洞。Kraken 发现有三个账户在短时间内利用了这一漏洞。
CertiK 的回应与退款计划
CertiK 否认了 Kraken 的敲诈勒索指控,并表示由于 Kraken 未能提供还款地址,且请求的金额不匹配,CertiK 将根据记录将资金转回 Kraken 可以访问的账户。CertiK 强调,这些资金原本是用于“白帽测试”的。
Kraken 指责 CertiK 的行为不道德,并涉嫌犯罪,因为 CertiK 拒绝了 Kraken 提出的退还资金和提供数据的请求。相反,CertiK 安排了与 Kraken 的会议,讨论根据不披露可能造成的损失来确定奖励金额。
结语
这一事件不仅凸显了加密货币交易所在安全方面的脆弱性,也引发了关于安全研究道德和法律界限的讨论。
CertiK 和 Kraken 之间的争议可能会对区块链安全领域的信任和合作产生长远影响。随着法律和道德问题的进一步明朗化,这一事件的发展将继续受到行业内外的密切关注。
