昨晚,加密貨幣交易所Kraken 和區塊鏈安全公司CertiK 在社群媒體上就一系列嚴重的安全漏洞問題發生了公開對峙。
最初,CertiK 在Kraken 發現了一系列嚴重漏洞,該漏洞源自最近Kraken 的用戶體驗(UX)變化,該變化會在客戶資產結算前立即為客戶帳戶記賬,並允許客戶即時交易加密貨幣市場,而Kraken 暫未針對這種特定攻擊向量進行充分測試。
簡單來說,該漏洞允許惡意攻擊者在未完全完成存款的情況下,發動存款作業並在其帳戶中收到資金。
在Kraken 對該漏洞進行檢查後,立即將其評估為「關鍵」(Critical),並在47 分鐘後由Kraken 的專家團隊緩解了這個問題。隨後,Kraken 首席安全長Nick Percoco 表示該問題已完全修復,並且不會再次發生。
時間發生時間線,圖源:CertiK 官方 X
然而有趣的事情發生了,Nick Percoco指出CertiK 在此次「安全檢查」中套走了Kraken 近300 萬美元,而CertiK 則對此表示堅決否認。
白帽行為還是敲詐?
在Kraken 的事後調查中發現,三個帳戶在幾天內利用了這一漏洞,其中一個帳戶通過身份認證(KYC)關聯到CertiK 工作人員,他利用漏洞將其帳戶餘額增加了4 美元。
理論上,生成4 美元時就足以證明漏洞的存在,且該漏洞被Kraken 評估為「關鍵」(Critical),這就意味著只要退回生成的4 美元,就能夠向Kraken 申請100 至150 萬美元的賞金。
Kraken 漏洞賞金計畫的獎金。來源:Kraken
然而,這位「安全研究員」卻選擇將該漏洞透露給了與他合作的另外兩個人,後者利用這個漏洞產生了更大金額的資金,最終從他們的Kraken 帳戶提取了近300 萬美元。
當Kraken 向CertiK 要求提供活動的詳細說明,創建鏈上活動的概念驗證,並安排歸還他們提取的資金時,CertiK 卻表示拒絕,並要求與其BD 團隊通話。同時,CertiK 也表示在Kraken 提供一個假設的可能損失金額之前,不同意歸還任何資金。
至此,Kraken 首席安全官Nick Percoco 在推文中將CertiK 的行為標榜為敲詐,並將此300 萬美元的損失視為“刑事案件”,目前正與執法部門協調追回資金。
隨後,CertiK 在X 上為自己的行為辯護。
CertiK 對Kraken 的測試主要圍繞三個問題,即惡意行為者能否偽造存款交易到Kraken 帳戶?惡意行為者能否提取偽造的資金?大額提款請求可能觸發哪些風險控制和資產保護?而CertiK 認為Kraken 交易所未通過所有這些測試,這表明Kraken 的深度防禦系統在多個方面被破壞。
CertiK 表示,由於漏洞讓數百萬美元可以存入任何Kraken 帳戶,而在多天的測試期間,Kraken 沒有觸發任何警報,一直到CertiK 的正式報告事件後才響應並鎖定了測試帳戶。
至於Kraken 的300 萬美元損失,CertiK 聲稱Kraken 威脅了公司員工,Kraken 要求歸還的資金總額與其所竊取的加密貨幣「不匹配」。同時,CertiK 揭露了全部存款地址,並表示會根據記錄將現有的資金轉移到Kraken 能夠存取的帳戶。
社區扒料更強爆
這家一直被詬病的安全公司又出事了,加密社群迅速前排吃瓜。
Cyvers.AI 的創辦人Meir Dolev表示「據鏈上分析,在Kraken 事件爆出26 天前,就有相同的簽章哈希對Coinbase 進行了類似的提款活動。另外,14 天前Polygon 網路上也出現了使用相同簽名哈希的轉帳行為。
Certik 先前聲稱是在6 月5 日才發現並利用了Kraken 的漏洞,但鏈上證據似乎表明,它可能早已掌握該漏洞並實施了多次類似行為。業內人士質疑Certik 公佈的時間線是否屬實,它是否早已利用漏洞長期轉移資金。這項發現無疑加劇了對Certik 操守的質疑。
不僅如此,作為安全公司的CertiK,其安全性也受到質疑。
Synthetix 的Adam Cochran表示,「CertiK 是徹頭徹尾的罪犯,其行為已經完全背離了安全公司的職業操守。鑑於CertiK 審計過的項目屢屢被黑客攻擊,該公司為何還能存在至今?」
在隨後的幾個小時內,Synthetix 再次對CertiK 的專業和公信力提出嚴重的質疑。 「CertiK 安全審計師利用職務之便,透過受制裁的Tornado Cash 等管道轉移和拋售資產,行為模式與駭客組織無惡不作組織Lazarus 相似。」
據揭露,CertiK 的安全審計師不僅透過Tornado Cash 轉移資產,還透過ChangeNOW 拋售資產,與Lazarus 駭客組織入侵加密協議後的常見做法如出一轍。有分析人士表示,Lazarus 入侵的Certik 審計協議比其他任何協議都多,這引發了外界對Certik 內部是否早已遭駭客滲透的質疑。
儘管目前尚無法確定整個CertiK 公司是否參與其中,但這確實讓人懷疑Certik 的安全研究團隊是否早已「受損」。
有相關人士指出,鑑於北韓駭客組織曾讓代理人利用DeFi 協議尋找工作,他們是否也與CertiK 的審計師「勾結」? 否則很難解釋,為何一家擁有眾多知名投資者的美國公司,會勒索交易所並違反美國對洗錢協議的製裁。
Puffer Finance 的陳劍表示,「有前員工透露,CertiK 高層過於重視盈利,價值觀出現偏差。該公司曾發行代幣後遭拋棄,令投資者蒙受損失。建議項目方謹慎選擇CertiK 進行安全審計。」陳劍認為CertiK 基本上成為一家「用光環包裝且收費昂貴的蓋章公」,它審計過的項目屢屢出現安全問題。
此外,也有人揭露「一些CertiK 內部審核員洩漏了公司的機密資訊和審計細節」。
對於CertiK 的劣跡,多名業內人士狠批CertiK「令人作嘔」、「不道德」、「不負責任」、「妄想」、「毫無價值」。大量加密社區成員加入了這場對CertiK 的口誅筆伐,其中,前OKX 員工紫夜表示:「有人踢到鐵板了。」
DegenBing.eth | Buji DAO直言吹捧CertiK 的人非蠢即壞,「大家趕緊準備好爆米花,後續應該會很精彩」。社群使用者@tayvano_ 也對CertiK表示嘲諷,「CertiK 的行為絕對沒有任何藉口,根本無法被視為合法的白帽子測試」,並呼籲CertiK「滾出去」。
CrertiK,只剩「八恿天下」?
從社群反應可以看出,這次事件裡的主角CertiK 已經不是第一次捲入爭議了。 CertiK 誕生於2017 年,曾經Web3 安全領域的明星計畫。其創辦人是為耶魯大學電腦系主任、終身教授邵中、哥倫比亞大學電腦系教授顧榮輝,皆為安全領域的頂尖學者。
2021 年,CertiK 開始迅速發展,在不到一年的時間內拿了五次融資,囊括了高盛、老虎、軟銀、紅杉、高瓴等最豪華的資方,當年在CoinMarketCa 所有經安全審計的DeFi在專案中,CertiK 的市佔率達70%,遠超過同行,其合作客戶包括Aave、Polygon、Yearn Finance 和Chiliz 等領先專案。
但另一半,自CertiK 推出之後,其面臨的爭議也沒有斷過,社群一直質疑CertiK 一邊佔有Web3 安全領域的絕大部分市場,一邊卻不能保證經手專案的安全性。甚至有人吐槽過,「CertiK 審計的未必都跑路,但是跑路的幾乎都是CertiK 審計,而且都喜歡對外宣稱有升級,但實際結果大家都知道,以至於『CertiK 審計』幾乎成了避雷指南。
2023 年4 月,極客公園訪問了CertiK CEO 顧榮輝,其用一句「譽滿天下,滿樂天下」回應這些爭議。對於頻頻出現的安全問題,CertiK 都視其為「不可避免的情況」,應對方式是公開安全審計報告,讓社區自發性檢查,顧榮輝曾表示,不希望CertiK 變成一個「章」、一個防盜的「證書」。
就在極客公園這篇採訪CertiK 的報道發出後不久,基於zkSync 的去中心化交易平台Merlin 被盜走約182 萬美元,而在這之前,Merlin 剛剛通過了CertiK 的審計,這次CertiK 將Merlin攻擊歸咎於「流氓開發者」。
一個月後,DeFi 專案Swaprum 在接受CertiK 審計幾週後跑路,捲走了總額達300 萬美元的客戶資金。社區將矛頭指向CertiK,稱其批准了「又一陰謀」。
種種事故之外,社群也對於CertiK 的技術障礙產生質疑。
CertiK 利用形式化驗證和AI 技術協作提供端到端的區塊鏈安全審計服務,簡單來說,就是透過形式驗證和手動驗證相結合,利用大語言模型自動檢查源代碼的問題,進行模擬攻擊,再由安全工程師對提出的問題進行回饋。
而創辦人則對其機制充滿自信,「即使我們的技術不發展,但只要我們能見到更多的程式碼、有更多的人對它進行標註,我們的引擎就會變得越來越好。
除了審計結果不可信這一點,CertiK 的黑歷史還包括其發幣經歷,CertiK 曾在2021 年推出過Certik chain 及其代幣CTK,但現在Certik 官網上,已經找不到其代幣CTK 的介紹。
據了解,CTK 當時共有兩輪私募輪,一輪額度29%,價格為0.77 美元;二輪額度9%,價格為1.9 美元。而CTK 上線後,經過短暫衝鋒就開始了下跌模式,截止撰稿時,其價格為0.8 美元。
這次捲入「敲詐Kraken」爭議後,儘管Kraken 確實存在漏洞,社區的態度卻出奇的一致,紛紛歷數CertiK 的過往事蹟。從擁有豪華融資陣容、估值20 億美元的Web3 安全領域明星項目,到陷入種種爭議、被視為“避雷標籤”,CertiK 這幾年的經歷讓社區唏噓,也給還在場上的項目方提供了警示。