复制成功

分享至

主页 > 数字货币 >

CertiK“对垒”Kraken:白帽黑客的尺度,到底怎样才合适?

2024.06.22

原创|Odaily星球日报

作者|jk

美国当地时间 6 月 19 日,加密货币交易所 Kraken 和区块链安全公司 CertiK 在社交媒体上就一系列严重的安全漏洞问题发生了公开对峙。

事件源于 Kraken 上一个被 CertiK 发现的漏洞:Kraken 首席安全官 Nick Percoco 在推特上披露,在其漏洞赏金计划中收到了一份“极其严重”的漏洞报告,报告声称发现了一个可以人为增加账户余额的漏洞。CertiK 称其为对 Kraken 交易所的一次安全测试,而 Kraken 认为 CertiK 在中间利用漏洞获利。双方各执一词,争执不下,形成大型吃瓜现场。

Kraken 的事件披露

以下是 Kraken 首席安全官在 X 平台上发布的事件过程:

“ 2024 年 6 月 9 日,我们收到了一位安全研究员通过漏洞赏金计划发来的警报。起初没有具体信息,但他们声称发现了一个“极其严重”的漏洞,可以让他们在我们的平台上人为地增加余额。

我们每天都会收到一些自称“安全研究员”的人发来的虚假漏洞报告。对于任何运行漏洞赏金计划的人来说,这都不是什么新鲜事。然而,我们对此事非常重视,并迅速组建了一个跨职能团队来调查这一问题。以下是我们的发现。

几分钟内,我们发现了一个孤立的漏洞。在特定情况下,这个漏洞允许恶意攻击者在未完全完成存款的情况下,发起存款操作并在其账户中收到资金。

需要明确的是,客户的资产从未面临风险。然而,恶意攻击者可以在一段时间内有效地在他们的 Kraken 账户中生成资产。

我们将这一漏洞评估为“关键”(Critical),并在一小时内(确切地说是 47 分钟)由我们的专家团队缓解了这个问题。几小时内,该问题被完全修复,并且将不会再次发生。

我们的团队发现,这个漏洞源自最近的用户体验(UX)变化,该变化会在客户资产结算前立即为客户账户记账——并允许客户实时交易加密货币市场。这一 UX 变化未针对这种特定攻击向量进行充分测试。

在修补风险后,我们进行了彻底调查,迅速发现有三个账户在几天内利用了这一漏洞。深入调查后,我们注意到其中一个账户通过身份认证(KYC)关联到一位自称为安全研究员的个人。

该个人在我们的资金系统中发现了这个漏洞,并利用它将其账户余额增加了 4 美元。这足以证明漏洞的存在,向我们的团队提交漏洞赏金报告,并根据我们的计划条款获得相当可观的奖励。

然而,这位“安全研究员”将这个漏洞透露给了与他合作的另外两个人,他们利用这个漏洞欺诈性地生成了更大金额的资金。他们最终从他们的 Kraken 账户中提取了近 300 万美元。这些资金来自 Kraken 的金库,而非其他客户的资产。

初始的漏洞赏金报告并未完全披露这些交易信息,因此我们联系了安全研究员,确认一些细节,以便奖励他们成功发现了我们平台上的安全漏洞。

随后,我们要求他们提供活动的详细说明,创建链上活动的概念验证,并安排归还他们提取的资金。这是任何漏洞赏金计划的常见做法。这些安全研究员拒绝了。

相反,他们要求与他们的 BD 团队(即他们的销售代表)通话,并在我们提供一个假设的可能损失金额之前,不同意归还任何资金。这不是白帽黑客行为,而是敲诈!

我们在 Kraken 设立漏洞赏金计划已有近十年。该计划由内部运行,并由社区中一些最聪明的人才全职负责。我们的计划与许多其他计划一样,有明确的规则:

不要提取超过证明漏洞所需的范围。

展示你的工作(即提供概念验证)。

提取的任何东西必须立即归还。

我们从未在与合法研究员的合作中遇到任何问题,并且我们总是积极响应。

为了透明起见,我们今天向行业披露了这个漏洞。我们被指责不合理和不专业,因为要求“白帽黑客”归还他们从我们这里偷走的东西。这太难以置信了。

作为安全研究员,您的“黑客”许可是通过遵循您参与的漏洞赏金计划的简单规则来启用的。忽视这些规则并敲诈公司会取消您的“黑客”许可。这会使您和您的公司成为罪犯。

我们不会透露这家研究公司的名字,因为他们的行为不值得认可。我们将此视为刑事案件,并与执法机构协调处理。我们感谢这一问题的报告,但仅此而已。

免责声明:数字资产交易涉及重大风险,本资料不应作为投资决策依据,亦不应被解释为从事投资交易的建议。请确保充分了解所涉及的风险并谨慎投资。OKEx学院仅提供信息参考,不构成任何投资建议,用户一切投资行为与本站无关。

加⼊OKEx全球社群

和全球数字资产投资者交流讨论

扫码加入OKEx社群

相关推荐

industry-frontier