Crypto hack: CertiK 发现 Kraken 交易所的一个漏洞，并利用它未经授权提取了 300 万美元

在这篇文章中，我们谈论一个令人难以置信的故事：几天前，审计公司Certik发现了crypto exchange Kraken安全系统中的一个漏洞，可能导致严重的hack。

在进行了为期3天的一些测试并执行了价值300万美元的“white hack”攻击后，Certik联系了Kraken以通知其漏洞，但最初拒绝立即归还被盗金额。

加密交易所立即联系了执法部门，将情况视为刑事案件，而加密安全公司坚持认为这是“bounty program”的典型测试。现在资金似乎已经归还。

我们将在下面详细查看所有内容。

对加密货币交易所Kraken造成300万美元损失的黑客攻击：Certik是负责人，但拒绝归还资金

这个故事开始于2024年6月9日，当时crypto exchange Kraken 收到了一位“安全研究员”的非正式通知，声称他发现了一个漏洞在平台上，这可能导致一次大规模的黑客攻击。

正如Kraken首席安全官Nick Percoco在一条事后推文中所报道的那样，研究人员指出了存款系统中的一个漏洞（无法区分不同的内部转账状态），这使得用户可以夸大自己的余额并提取比实际拥有更多的coins。 交易所立即采取行动解决问题，仅在47分钟内，一个专家团队就成功修复了 bug。

以下是Percoco的报告：

“该漏洞在适当的情况下允许恶意攻击者在我们的平台上发起存款并在未完全完成存款的情况下将资金接收到自己的账户. 为了明确起见，客户的资产从未处于风险中”

Kraken Security Update:

On June 9 2024, we received a Bug Bounty program alert from a security researcher. No specifics were initially disclosed, but their email claimed to find an “extremely critical” bug that allowed them to artificially inflate their balance on our platform.

— Nick Percoco (@c7five) June 19, 2024

到目前为止，一切都很正常，除非同一家安全公司web3，该公司雇佣了联系Kraken的研究员，在正式通报漏洞之前，已经在平台上进行了多次hack，总计300万美元。

在Percoco发布帖子后不久，著名的审计公司Certik立即承担了事件的责任，并揭示了其在事件中的关键作用。

Certik 可能已经“测试”了 Kraken 的防御机制，实施了大规模攻击，并从 3 个不同的账户中提取了大量的 MATIC 代币，然后通过 Tornado Cash 混币器清除资金的痕迹。

 正如交易所的安全负责人所解释的那样，在修复问题后，Kraken要求Certik归还资金，但她最初拒绝了。

尽管如此，Certik 坚持认为其活动符合“white hack”原则。

看起来Certik并没有提到3个exploiter账户在事件中的角色，尽管在与Kraken沟通的前3天进行了取款测试。

发现该漏洞的安全研究人员，要求获得丰厚的赏金，因为他发现了一个可能导致严重黑客攻击的大漏洞，但Kraken坚持要求归还其资金。

由于审计公司拒绝归还赃款，反而似乎采取行动掩盖黑客攻击的证据，交易所决定将此情况视为刑事案件，并通知相关当局和执法部门。

Web3安全公司曾要求交易所支付相当于如果该漏洞未被披露可能导致的投机金额的赏金，这让交易平台团队非常愤怒。

Percoco 在他的 X 个人资料上评论了所发生的事情，显示了他对 Certik 行为的完全反对：

“这不是white hacking，这是敲诈”。

We’ll not disclose this research company because they don’t deserve recognition for their actions. We are treating this as a criminal case and are coordinating with law enforcement agencies accordingly. We’re thankful this issue was reported, but that’s where that thought ends.

— Nick Percoco (@c7five) June 19, 2024

Certik的否认：尽管一些员工受到Kraken团队的威胁，资金仍被退还

Certik，在自称为发现存款系统漏洞的公司后，立即否认了Kraken的说法，强调了“white hack”的角色和自己的积极意图。

公司透露，他们进行了一次大规模的黑客攻击，金额高达300万美元，目的是测试交易所的防御，但同样强调，他们从未拒绝归还战利品，而是希望确保一切都正确执行。

Certik 表示对该漏洞可能造成的负面影响感到惊讶，但尤其是 Kraken 的警报从未被触发。这是在一篇文章中声明的： 

“数百万美元可以存入任何Kraken账户。可以从账户中提取大量加密货币（价值超过1百万美元）并转换为有效的加密货币。更糟糕的是，在多天的测试期间没有激活任何警报。”

此外，审计公司解释说，交易所团队的一名成员曾威胁其研究人员在不合理的时间内（6小时）归还款项，但未提供repayment地址。

这是在黑客事件发生几天后，两家公司通过电话联系以寻找解决方案并解决问题。

CertiK recently identified a series of critical vulnerabilities in @krakenfx exchange which could potentially lead to hundreds of millions of dollars in losses.

Starting from a finding in @krakenfx's deposit system where it may fail to differentiate between different internal… pic.twitter.com/JZkMXj2ZCD

— CertiK (@CertiK) June 19, 2024

看起来引发混乱的是Kraken提出的bounty奖金金额，这被认为与所做的努力和可能预防的漏洞不相称。正如Kraken的一位发言人对Coindesk所说：

“我们本着诚意邀请了这些研究人员，并且根据十年来管理bug赏金计划的经验，我们为他们的努力提供了可观的赏金。我们对这次经历感到失望，现在我们正在与执法部门合作，从这些安全研究人员那里追回资产”。

今天 Certik 发布了另一篇带有 FAQ 的帖子，以进一步澄清其立场并消除所有疑虑。

安全公司重申“始终”确认将归还被盗金额，并表示现在所有资金都已回到Kraken手中。

这些资金已以734.19215 ETH、29,001 USDT和1021.1 XMR的形式发送给发件人，而交易所明确要求发送155818.4468 MATIC、907400.1803 USDT、475.5557871 ETH和1089.794737 XMR，总价值超过约100,000美元。

Q&A to recent CertiK-Kraken whitehat operations:

1. Did any real user lose fund？
No. Cryptos were minted out of air, and no real Kraken user’s assets were directly involved in our research activities.

2. Have we refused to return the funds?
No. In our communication with…

— CertiK (@CertiK) June 20, 2024

Kraken 坚持其“white hacking”伦理概念，并声称 Certik 实施的 bull 行为可以被视为敲诈勒索。

交易所的Bounty计划实际上要求第三方找到问题，利用测试漏洞所需的最低金额（而不是进行300万美元的黑客攻击），归还资源并提供有关漏洞的详细信息。