明明生成4美元就足以证明漏洞的存在,为何Certik的安全研究员坚持要从Kraken提取近300万美元?昨晚,加密货币交易所Kraken和区块链安全公司CertiK在社群媒体上就一系列严重的安全漏洞问题发生了公开对峙。最初,CertiK在Kraken发现了一系列严重漏洞,该漏洞源自最近Kraken的用户体验(UX)变化,该变化会在客户资产结算前立即为客户帐户记帐,并允许客户即时交易加密货币市场,而Kraken暂未针对这种特定攻击向量进行充分测试。简单来说,该漏洞允许恶意攻击者在未完全完成存款的情况下,发动存款操作并在其帐户中收到资金。在Kraken对该漏洞进行检查后,立即将其评估为「关键」(Critical),并在47分钟后由Kraken的专家团队缓解了这个问题。随后,Kraken首席安全长NickPercoco表示该问题已完全修复,并且不会再次发生。然而有趣的事情发生了,NickPercoco指出CertiK在此次「安全检查」中套走了Kraken近300万美元,而CertiK则对此表示坚决否认。白帽还是敲诈?在Kraken的事后调查中发现,三个帐户在几天内利用了这一漏洞,其中一个帐户通过身份认证(KYC)关联到CertiK工作人员,他利用漏洞将其帐户余额增加了4美元。理论上,生成4美元时就足以证明漏洞的存在,且该漏洞被Kraken评估为「关键」(Critical),这就意味著只要退回生成的4美元,就能够向Kraken申请100至150万美元的赏金。然而,这位「安全研究员」却选择将该漏洞透露给了与他合作的另外两个人,后者利用这个漏洞产生了更大金额的资金,最终从他们的Kraken帐户提取了近300万美元。当Kraken向CertiK要求提供活动的详细说明,创建链上活动的概念验证,并安排归还他们提取的资金时,CertiK却表示拒绝,并要求与其BD团队通话。同时,CertiK也表示在Kraken提供一个假设的可能损失金额之前,不同意归还任何资金。
至此,Kraken首席安全官NickPercoco在推文中将CertiK的行为标榜为敲诈,并将此300万美元的损失视为「刑事案件」,目前正与执法部门协调追回资金。随后,CertiK在X上为自己的行为辩护。CertiK对Kraken的测试主要围绕三个问题,即恶意行为者能否伪造存款交易到Kraken帐户?恶意行为者能否提取伪造的资金?大额提款请求可能触发哪些风险控制和资产保护?而CertiK认为Kraken交易所未通过所有这些测试,这表明Kraken的深度防御系统在多个方面被破坏。CertiK表示,由于漏洞让数百万美元可以存入任何Kraken帐户,而在多天的测试期间,Kraken没有触发任何警报,一直到CertiK的正式报告事件后才响应并锁定了测试帐户。至于Kraken的300万美元损失,CertiK声称Kraken威胁了公司员工,Kraken要求归还的资金总额与其所窃取的加密货币「不匹配」。同时,CertiK揭露了全部存款地址,并表示会根据记录将现有的资金转移到Kraken能够存取的帐户。社群扒黑料这家一直被诟病的安全公司又出事了,加密货币社群迅速前排吃瓜。Cyvers.AI的创办人MeirDolev表示:「据链上分析,在Kraken事件爆出26天前,就有相同的签章哈希对Coinbase进行了类似的提款活动。另外,14天前Polygon网路上也出现了使用相同签名哈希的转帐行为。」Certik先前声称是在6月5日才发现并利用了Kraken的漏洞,但链上证据似乎表明,它可能早已掌握该漏洞并实施了多次类似行为。
业内人士质疑Certik公布的时间线是否属实,它是否早已利用漏洞长期转移资金。这项发现无疑加剧了对Certik操守的质疑。不仅如此,作为安全公司的CertiK,其安全性也受到质疑。Synthetix的AdamCochran表示,「CertiK是彻头彻尾的罪犯,其行为已经完全背离了安全公司的职业操守。鉴于CertiK审计过的项目屡屡被黑客攻击,该公司为何还能存在至今?」在随后的几个小时内,Synthetix再次对CertiK的专业和公信力提出严重的质疑。「CertiK安全审计师利用职务之便,透过受制裁的TornadoCash等管道转移和抛售资产,行为模式与骇客组织无恶不作组织Lazarus相似。」据揭露,CertiK的安全审计师不仅透过TornadoCash转移资产,还透过ChangeNOW抛售资产,与Lazarus骇客组织入侵加密协议后的常见做法如出一辙。有分析人士表示,Lazarus入侵的Certik审计协议比其他任何协议都多,这引发了外界对Certik内部是否早已遭骇客渗透的质疑。尽管目前尚无法确定整个CertiK公司是否参与其中,但这确实让人怀疑Certik的安全研究团队是否早已「受损」。有相关人士指出,鉴于北韩骇客组织曾让代理人利用DeFi协议寻找工作,他们是否也与CertiK的审计师「勾结」?否则很难解释,为何一家拥有众多知名投资者的美国公司,会勒索交易所并违反美国对洗钱协议的制裁。PufferFinance的陈剑表示,「有前员工透露,CertiK高层过于重视盈利,价值观出现偏差。该公司曾发行代币后遭抛弃,令投资者蒙受损失。建议项目方谨慎选择CertiK进行安全审计。
」陈剑认为CertiK基本上成为一家「用光环包装且收费昂贵的盖章公」,它审计过的项目屡屡出现安全问题。此外,也有人揭露「一些CertiK内部审核员泄漏了公司的机密资讯和审计细节」。对于CertiK的劣迹,多名业内人士狠批CertiK「令人作呕」、「不道德」、「不负责任」、「妄想」、「毫无价值」。大量加密社群成员加入了这场对CertiK的口诛笔伐,其中,前OKX员工紫夜表示:「有人踢到铁板了。」DegenBing.eth|BujiDAO直言吹捧CertiK的人非蠢即坏,「大家赶紧准备好爆米花,后续应该会很精彩」。社群使用者@tayvano_也对CertiK表示嘲讽,「CertiK的行为绝对没有任何借口,根本无法被视为合法的白帽子测试」,并呼吁CertiK「滚出去」。CrertiK,只剩「谤满天下」?从社群反应可以看出,这次事件里的主角CertiK已经不是第一次卷入争议了。CertiK诞生于2017年,曾经Web3安全领域的明星计划。其创办人是为耶鲁大学电脑系主任、终身教授邵中、哥伦比亚大学电脑系教授顾荣辉,皆为安全领域的顶尖学者。2021年,CertiK开始迅速发展,在不到一年的时间内拿了五次融资,囊括了高盛、老虎、软银、红杉、高瓴等最豪华的资方,当年在CoinMarketCa所有经安全审计的DeFi在项目中,CertiK的市占率达70%,远超过同行,其合作客户包括Aave、Polygon、YearnFinance和Chiliz等领先项目。但另一半,自CertiK推出之后,其面临的争议也没有断过,社群一直质疑CertiK一边占有Web3安全领域的绝大部分市场,一边却不能保证经手项目的安全性。甚至有人吐槽过,「CertiK审计的未必都跑路,但是跑路的几乎都是CertiK审计,而且都喜欢对外宣称有升级,但实际结果大家都知道,以至于『CertiK审计』几乎成了避雷指南。
2023年4月,极客公园访问了CertiKCEO顾荣辉,其用一句「誉满天下,谤满天下」回应这些争议。对于频频出现的安全问题,CertiK都视其为「不可避免的情况」,应对方式是公开安全审计报告,让社群自发性检查,顾荣辉曾表示,不希望CertiK变成一个「章」、一个防盗的「证书」。就在极客公园这篇采访CertiK的报导发出后不久,基于zkSync的去中心化交易平台Merlin被盗走约182万美元,而在这之前,Merlin刚刚通过了CertiK的审计,这次CertiK将Merlin攻击归咎于「流氓开发者」。一个月后,DeFi项目Swaprum在接受CertiK审计几周后跑路,卷走了总额达300万美元的客户资金。社群将矛头指向CertiK,称其批准了「又一阴谋」。种种事故之外,社群也对于CertiK的技术障碍产生质疑。CertiK利用形式化验证和AI技术协作提供端到端的区块链安全审计服务,简单来说,就是透过形式验证和手动验证相结合,利用大语言模型自动检查源代码的问题,进行模拟攻击,再由安全工程师对提出的问题进行回馈。而创办人则对其机制充满自信,「即使我们的技术不发展,但只要我们能见到更多的程式码、有更多的人对它进行标注,我们的引擎就会变得越来越好」。除了审计结果不可信这一点,CertiK的黑历史还包括其发币经历,CertiK曾在2021年推出过Certikchain及其代币CTK,但现在Certik官网上,已经找不到其代币CTK的介绍。据了解,CTK当时共有两轮私募轮,一轮额度29%,价格为0.77美元;二轮额度9%,价格为1.9美元。而CTK上线后,经过短暂冲锋就开始了下跌模式,截止撰稿时,其价格为0.8美元。这次卷入「敲诈Kraken」争议后,尽管Kraken确实存在漏洞,社群的态度却出奇的一致,纷纷历数CertiK的过往事迹。从拥有豪华融资阵容、估值20亿美元的Web3安全领域明星项目,到陷入种种争议、被视为「避雷标签」,CertiK这几年的经历让社群唏嘘,也给还在场上的项目方提供了警示。