昨晚,加密货币交易所 Kraken 和区块链安全公司 CertiK 在社交媒体上就一系列严重的安全漏洞问题发生了公开对峙。
最初,CertiK 在 Kraken 发现了一系列严重漏洞,该漏洞源自最近 Kraken 的用户体验(UX)变化,该变化会在客户资产结算前立即为客户账户记账,并允许客户实时交易加密货币市场,而 Kraken 暂未针对这种特定攻击向量进行充分测试。
简单来说,该漏洞允许恶意攻击者在未完全完成存款的情况下,发起存款操作并在其账户中收到资金。
在 Kraken 对该漏洞进行检查后,立即将其评估为「关键」(Critical),并在 47 分钟后由 Kraken 的专家团队缓解了这个问题。随后,Kraken 首席安全官 Nick Percoco 表示该问题被完全修复,并且将不会再次发生。
时间发生时间线,图源:CertiK 官方 X
然而有趣的事情发生了,Nick Percoco指出CertiK 在此次「安全检查」中套走了 Kraken 近 300 万美元,而 CertiK 则对此表示坚决否认。但在事情发酵半天后,CertiK又表示已经返还了所涉资金,资金总额也确实为300万美元左右,只是具体代币与Kraken所宣称的情况不符。
白帽行为还是敲诈?
在 Kraken 的事后调查中发现,三个账户在几天内利用了这一漏洞,其中一个账户通过身份认证(KYC)关联到 CertiK 工作人员,他利用漏洞将其账户余额增加了 4 美元。
理论上,生成 4 美元时就足以证明漏洞的存在,且该漏洞被 Kraken 评估为「关键」(Critical),这就意味着只要退回生成的 4 美元,就能够向 Kraken 申请 100 至 150 万美元的赏金。
Kraken 漏洞赏金计划的奖金。来源:Kraken
然而,此「安全研究员」却选择将该漏洞透露给了与他合作的另外两个人,后者利用这个漏洞生成了更大金额的资金,最终从他们的 Kraken 账户提取了近 300 万美元。
当 Kraken 向 CertiK 要求提供活动的详细说明,创建链上活动的概念验证,并安排归还他们提取的资金时,CertiK 却表示拒绝,并要求与其 BD 团队通话。同时,CertiK 还表示在 Kraken 提供一个假设的可能损失金额之前,不同意归还任何资金。
至此,Kraken 首席安全官 Nick Percoco 在推文中将 CertiK 的行为标榜为敲诈,并将此 300 万美元的损失视为「刑事案件」,目前正与执法部门协调追回资金。
随后,CertiK 在 X 上为自己的行为辩护。
CertiK 对 Kraken 的测试主要围绕三个问题,即恶意行为者能否伪造存款交易到 Kraken 账户?恶意行为者能否提取伪造的资金?大额提款请求可能触发哪些风险控制和资产保护?而 CertiK 认为 Kraken 交易所未通过所有这些测试,这表明 Kraken 的深度防御系统在多个方面被破坏。
CertiK 表示,由于漏洞让数百万美元可以被存入任何 Kraken 账户,而在多天的测试期间,Kraken 没有触发任何警报,一直到 CertiK 的正式报告事件后才响应并锁定了测试账户。
至于 Kraken 的 300 万美元损失,CertiK 声称 Kraken 威胁了公司员工,Kraken 要求归还的资金总额与其所盗取的加密货币「不匹配」。同时,CertiK 披露了全部存款地址,并表示会根据记录将现有的资金转移到 Kraken 能够访问的账户。
在引起社区关注后,CertiK更新了回应态度,发布了一条推文解释了包括资金返还、漏洞披露以及测试目的等事件细节,其中CertiK 确认已返还所有持有的资金,但总金额与 Kraken 要求不一致。返还金额包括 734.19215 ETH、29,001 USDT 和 1021.1 XMR,而 Kraken 请求返还的金额为 155818.4468 MATIC、907400.1803 USDT、475.5557871 ETH 和 1089.794737 XMR。
社区扒料更劲爆
这个一直被诟病的安全公司又出事了,加密社区迅速前排吃瓜。
Cyvers.AI 的创始人 Meir Dolev表示「据链上分析,在 Kraken 事件爆出 26 天前,就有相同的签名哈希对 Coinbase 进行了类似的提款活动。另外,14 天前 Polygon 网络上也出现了使用相同签名哈希的转账行为。」
Certik 此前声称是在 6 月 5 日才发现并利用了 Kraken 的漏洞,但链上证据似乎表明,它可能早已掌握该漏洞并实施了多次类似行为。业内人士质疑 Certik 公布的时间线是否属实,它是否早已利用该漏洞长期转移资金。这一发现无疑加剧了对 Certik 操守的质疑。
不仅如此,作为安全公司的 CertiK,其安全性也在遭到质疑。
Synthetix 的 Adam Cochran表示,「CertiK 是彻头彻尾的罪犯,其行为已经完全背离了安全公司的职业操守。鉴于 CertiK 审计过的项目屡屡被黑客攻击,该公司为何还能存在至今?」
随后的几个小时内,Synthetix 再次对 CertiK 的 专业性和公信力提出严重的质疑。「CertiK 安全审计师利用职务之便,通过受制裁的 Tornado Cash 等渠道转移和抛售资产,行为模式与黑客组织无恶不作组织 Lazarus 相似。」
据披露,CertiK 的安全审计师不仅通过 Tornado Cash 转移资产,还通过 ChangeNOW 抛售资产,与 Lazarus 黑客组织入侵加密协议后的常见做法如出一辙。有分析人士表示,Lazarus 入侵的 Certik 审计协议比其他任何协议都多,这引发了外界对 Certik 内部是否早已遭黑客渗透的质疑。
尽管目前尚无法确定整个 CertiK 公司是否参与其中,但这确实让人怀疑 Certik 的安全研究团队是否早已「受损」。
有相关人士指出,鉴于朝鲜黑客组织曾让代理人利用 DeFi 协议寻找工作,他们是否也与 CertiK 的审计师「勾结」? 否则很难解释,为何一家拥有众多知名投资者的美国公司,会勒索交易所并违反美国对洗钱协议的制裁。
Puffer Finance 的 陈剑表示,「有前员工透露,CertiK 高层过于重视盈利,价值观出现偏差。该公司曾发行代币后遭抛弃,令投资者蒙受损失。建议项目方谨慎选择 CertiK 进行安全审计。」陈剑认为 CertiK 基本成为一家「用光环包装且收费昂贵的盖章公」,它审计过的项目屡屡出现安全问题。
此外,还有人披露「一些 CertiK 内部审核员泄露了公司的机密信息和审计细节」。
对于 CertiK 的劣迹,多名业内人士狠批 CertiK「令人作呕」、「不道德」、「不负责任」、「妄想」、「毫无价值」。大量加密社区成员加入了这场对 CertiK 的口诛笔伐,其中,前 OKX 员工紫夜表示:「有人踢到铁板了。」
DegenBing.eth | Buji DAO直言吹捧 CertiK 的人非蠢即坏,「大家赶紧准备好爆米花,后续应该会很精彩」。社区用户 @tayvano_ 也对 CertiK表示嘲讽,「CertiK 的行为绝对没有任何借口,根本无法被视为合法的白帽子测试」,并呼吁 CertiK「滚出去」。
CrertiK,只剩「谤满天下」?
从社区反应中可以看出,这次事件里的主人公 CertiK 已经不是第一次卷入争议了。CertiK 诞生于 2017 年,曾经 Web3 安全领域的明星项目。其创始人是为耶鲁大学计算机系主任、终身教授邵中以及哥伦比亚大学计算机系教授顾荣辉,均为安全领域的顶尖学者。
2021 年,CertiK 开始迅速发展,在不到一年的时间内拿了五次融资,囊括了高盛、老虎、软银、红杉、高瓴等最豪华的资方,当年在 CoinMarketCa 所有经安全审计的 DeFi 项目中,CertiK 的市占率达 70%,远远超过同行,其合作客户包括 Aave、Polygon、Yearn Finance 和 Chiliz 等领先项目。
但另一半,自 CertiK 推出之后,其面临的争议也没有断过,社区一直质疑 CertiK 一边占有着 Web3 安全领域的绝大部分市场,一边却不能保证经手项目的安全性。甚至有人吐槽过,「CertiK 审计的未必都跑路,但是跑路的几乎都是 CertiK 审计,而且都喜欢对外宣称有升级,但实际结果大家都知道,以至于『CertiK 审计』几乎成了避雷指南。」
2023 年 4 月,极客公园采访了 CertiK CEO 顾荣辉,其用一句「誉满天下,谤满天下」回应这些争议。对于频频出现的安全问题,CertiK 都视其为「不可避免的情况」,应对方式是公开安全审计报告,让社区自发检查,顾荣辉曾表示,不希望 CertiK 变成一个「章」、一个防盗的「证书」。
就在极客公园这篇采访 CertiK 的报道发出后不久,基于 zkSync 的去中心化交易平台 Merlin 被盗走约 182 万美元,而在这之前,Merlin 刚刚通过了 CertiK 的审计,这次 CertiK 将 Merlin 攻击归咎于「流氓开发者」。
一个月后,DeFi 项目 Swaprum 在接受 CertiK 审计几周后跑路,卷走了总额达 300 万美元的客户资金。社区将矛头指向 CertiK,称其批准了「又一阴谋」。
种种事故之外,社区也对于 CertiK 的技术壁垒产生质疑。
CertiK 利用形式化验证和 AI 技术协作提供端到端的区块链安全审计服务,简单来说,就是通过形式验证和手动验证相结合,利用大语言模型自动检查源代码的问题,进行模拟攻击,再由安全工程师对提出的问题进行反馈。
而创始人则对其机制充满自信,「即使我们的技术不发展,但只要我们能见到更多的代码、有更多的人对它进行标注,我们的引擎就会变得越来越好。然后我们的安全程度会越来越高,并有越来越多的客户,而这又会让引擎越来越好。就是这样一个正循环。」
除了审计结果不可信这点,CertiK 的黑历史还包括其发币经历,CertiK 曾在 2021 年推出过 Certik chain 及其代币 CTK,但现在 Certik 官网上,已经找不到其代币 CTK 的介绍。
据了解,CTK 当时共有两轮私募轮,一轮额度 29%,价格为 0.77 美元;二轮额度 9%,价格为 1.9 美元。而 CTK 上线后,经过短暂冲锋就开始了下跌模式,截止撰稿时,其价格为 0.8 美元。
这次卷入「敲诈 Kraken」争议后,尽管 Kraken 确实存在漏洞,社区的态度却出奇的一致,纷纷历数 CertiK 的过往事迹。从拥有豪华融资阵容、估值 20 亿美元的 Web3 安全领域明星项目,到陷入种种争议、被视为「避雷标签」,CertiK 这几年的经历让社区唏嘘,也给还在场上的项目方提供了警示。