Kraken 与 CertiK 白帽黑客事件追踪

ChainCatcher 消息，Kraken Exchange 首席安全官 Nick Percoco 在社交平台发文更新信息称，现在可以确认，由于此前漏洞而被提取的资金已被退还（除去少量费用损失）。 此前，CertiK 表示，已返还全部资金但与 Kraken 要求不一致，并未索要漏洞赏金。

ChainCatcher 消息，CertiK 在 X 平台公布一系列针对 CertiK-Kraken 白帽事件的问答，CertiK 表示没有真正的 Kraken 用户的资产直接参与研究活动。在与 Kraken 的沟通中（通过电子邮件和视频会议），CertiK 始终向他们保证将退还资金。目前持有的所有资金都已归还，但总金额与 Kraken 的要求不同。CertiK 根据自己的记录进行退还。 CertiK 向 Kraken 详细披露了漏洞细节，并在 47 分钟内得到了修复。测试结束后，CertiK 通过多种方式及时通知了 Kraken 并发送了详细报告。CertiK 未参与 Kraken 的赏金计划，也未提及任何赏金请求，重点在于确保问题得到解决。 此外，CertiK 表示进行多次大规模测试 ，是想测试一下 Kraken 的保护和风控的极限。经过多天的多次测试和价值近三百万的加密货币，没有触发任何警报，其仍然没有弄清楚限制。

ChainCatcher 消息，针对 Kraken 和 CertiK 之间的安全漏洞报告争议，安全公司 Cyvers 的首席技术官 Meir Dolev 在社交平台引援了此前安全研究员@tayvano分享的内容，以对 Certik 所述的 6 月 5 日发现漏洞时间提出质疑。 0x1d…7ac9 地址于 5 月 24 日在 Base 网络上创建了合约 0x45…CeA9，并进行了相关活动，而 Certik 测试地址也曾使用过该未知地址相同的签名哈希。疑似这个在 Base 上部署的合约（ 0x45…CeA9）也在对 OKX 和 Coinbase 做过相同的测试，以确定这两个交易所是否有 Kraken 相同的漏洞。

Kraken 称 CertiK 在“敲诈”，而 CertiK 称员工受到 Kraken 威胁。

ChainCatcher 消息，区块链安全机构 CertiK 在社交平台宣布，在 Kraken 交易所发现了一系列严重漏洞，这些漏洞可能导致数亿美元的潜在损失。 CertiK 的调查显示，Kraken 的存款系统无法有效区分不同的内部转账状态，存在恶意行为者伪造存款交易并提取伪造资金的风险。在测试期间，数百万美元的虚假资金可以被存入 Kraken 账户，并提取超过 100 万美元的伪造加密货币转化为有效资产，且 Kraken 系统未触发任何警报。 CertiK 通知 Kraken 后，Kraken 将漏洞分类为“严重”（Critical），并初步修复了问题。但 CertiK 指出，Kraken 安全团队随后威胁 CertiK 员工，要求在不合理的时间内偿还不匹配的加密货币，并未提供还款地址。为了保护用户安全，CertiK 决定公开此事，呼吁 Kraken 停止对白帽黑客的任何威胁，强调通过合作应对风险，共同保障 Web3 的未来。