CertiK安保公司面临指控:员工疑似利用漏洞盗取近300万美元
文章重点
CertiK的员工被指控滥用在Kraken交易所发现的漏洞。漏洞允许用户在未完成存款的情况下提取资金。Kraken高层指控CertiK进行敲诈,并计划对此事件进行刑事调查。CertiK回应称其员工受到了威胁,并提供了关于事件的时间线。在最近的一起事件中,区块链安全公司CertiK被指控其员工利用在Kraken加密货币交易所发现的漏洞,盗取了近300万美元。Kraken的安全主管Nick Percoco表示,一名安全研究人员通过Kraken的漏洞奖励计划报告了此漏洞,但此人随后将其共享给其他两个人,利用该漏洞进行大额存取款。
这个在6月9日报告的漏洞使得用户在发起存款后即使存款未完成也能在其帐户中看到资金。根据Percoco的说法,用户随后可以提取这些资金,这笔钱来自“Kraken的国库”,他强调客户的资金从未处于危险之中。
Kraken安全主管指控研究公司敲诈
Percoco表示,最初报告漏洞的研究员并未充分披露确认漏洞所进行的交易细节,拒绝提供可重现漏洞的概念证明,并且在Kraken未提供可能因漏洞未修复而造成的损失金额预估之前不愿意归还提取的资金。
极光加速器最新版本“这不是白帽骇客行为,而是敲诈!”Percoco写道,并补充说,该公司“从未遇到过如此问题的合法研究者”。
Percoco并未披露涉及的研究员或安全公司名称,并表示“他们不值得因其行为而受到认可”,并指出Kraken正在与执法机构合作,将此事件视作刑事案件。
CertiK回应,称Kraken威胁白帽骇客
在Percoco最初发帖的三小时内,CertiK公开表示其研究人员发现了Kraken的重大漏洞。CertiK在Twitter上的回应中称,Kraken威胁了个别CertiK员工,要求他们偿还“不匹配”的资金,并在要求资金于六小时内归还后没有提供偿还地址。
“为了透明和我们对Web3社区的承诺,我们愿意公开以保护所有用户的安全。我们敦促[Kraken交易所]停止对白帽骇客的任何威胁,”该公司写道。
CertiK提供了一份事件的时间线,从6月5日初步发现漏洞到6月18日Kraken据称威胁一名员工要求“匹配”资金的六小时截止时间。
日期事件数量6月5日初步存款测试200 MATIC约116美元6月7日提现测试超过90000 MATIC约52400美元6月89日大额存款/提现测试超过500000 MATIC约291000美元6月9日最终的存款和提现N/ACertiK还在后续回应中披露了测试期间进行的所有存款,包括日期、时间、金额和交易哈希,总额超过750万MATIC逾430万美元。
“真正的问题在于为什么Kraken的深度防御系统未能检测到这么多测试交易。我们的测试中,持续的大额提现来自不同的测试账户,”CertiK指出。
