#安全资讯 安全公司和白帽变身黑帽干着勒索的勾当:加密货币交易所 Kraken 披露最近的安全事件,安全公司 CertiK 利用漏洞盗取 300 万美元的资产并且还不愿意退回。为此 Kraken 直接报警寻求执法机构的帮助,同时公布了前因后果指控 CertiK 不合规不合法的行为。查看全文:https://ourl.co/104561
知名加密货币交易所 Kraken (俗称海妖) 昨天夜里透露了一起严重的安全事件,该事件没有给用户造成任何资金损失,但该交易所透露相关方安全公司 CertiK 利用漏洞对其实施资产盗窃和勒索。
事件起因是 Kraken 接到一名安全研究人员的通报,研究人员指出该交易所存在一个严重的安全漏洞,借助漏洞攻击者可以伪造余额进行提款,这是 Kraken 充值环节存在的设计漏洞。
接到通报后该交易所花费 47 分钟确认并修复漏洞,随后经过调查 Kraken 发现有 3 个账户利用此漏洞,其中一个账户的 KYC 认证资料关联到通报的研究人员,也就是用来测试漏洞的。
这名研究人员持有的账户伪造了 4 美元的余额来证明这个漏洞是有效的,对此 Kraken 也认可,根据漏洞奖金计划这名研究人员将可以获得丰厚的漏洞奖金回报。
正常情况下白帽黑客 (也安全研究人员) 与平台之间的流程基本到此已经结束,接下来等待发放漏洞奖金就行,毕竟漏洞已经被确认并且也得到了修复。
安全公司干起了勒索的勾当:
但 Kraken 发现还有两个账户伪造了账户余额,并且提取了高达 300 万美元的加密货币,这些资产属于 Kraken 的而非其他客户的资金,等于是伪造了余额从而稀释了资金池,Kraken 必须自行补上这部分丢失的资产。
鉴于这两个账户的行为,Kraken 重新联系了通报漏洞的研究人员,这时候该交易所也发现了利用漏洞的实际上属于同一组研究人员,也就是 CertiK 公司的白帽黑客。
哪怕是提取了 300 万美元的资产,此时研究人员仍然可以以测试为理由进行说明,这时候只要退回资产即可,双方依然可以好好谈,但没想到的是 CertiK 公司竟然拒绝退款而是要求联系 Kraken 的商务部门。
该公司要求 Kraken 预估此漏洞可能造成的资金损失,也就是 CertiK 可能想要通过漏洞造成的潜在损失来预估漏洞奖金,而不是按照原本漏洞奖金计划的标准来发放奖金。
假设该漏洞可能造成 1 亿美元的损失,那么 CertiK 可能会要求按照 1%、10% 乃至更多的比例来要求赏金,显然这对 Kraken 来说是敲诈勒索行为,也是不可接受的。
目前的结果是 Kraken 直接与美国执法部门联系并对外发布公告透露了这些细节,一方面是要寻求执法机构的帮助抵制这种敲诈勒索行为,另一方面也是公布 CertiK 的嘴脸。
CertiK 还被发现使用混币器转移资产:
继续进行调查 Kraken 还发现被提取的加密货币资产被 CertiK 通过混币器 Tornado 进行清洗,这里要提到一个法律问题就是 Tornado 已经被美国政府制裁,任何美国公民或企业都不得与之进行任何交易。
可以看到 CertiK 显然是有备而来的,他们压根就没准备退回资金所以才会用混币器进行清洗以此来躲避追踪,但这个行为本身已经是违法的。
现在是准备退回资产但不是全部:
经过发酵后 CertiK 也发布了回应,对于自己的不合规行为只字不提,继续强调 Kraken 存在严重的安全漏洞,而且是他们发现了漏洞并通报给 Kraken 从而帮助该交易所规避了更多损失。
目前该公司也已经退回了资金,但不是全部,其中退回 734 个以太坊、2.9 万个 USDT、1021 个门罗币,而 Kraken 要求退回的包括 15.5 万个 MATIC、90.74 万个 USDT、475 个以太坊和 1089 个门罗币。
为什么之间差额这么大暂时我们还不得而知,不知道是不是 CertiK 通过转移和混币器操作造成了巨额损失,但无论如何这种不合规、不合法的行为不会就此了解,接下来就要等待 Kraken 和执法部门的沟通了。