美國加密貨幣交易所 Kraken 最近披露,某位自稱安全研究人員的駭客利用其平台上的一個嚴重漏洞,竊取了價值 300 萬美元的數位資產,並正在對其進行「敲詐」。該研究人員在 6 月 9 日報告了這個漏洞,但他利用該漏洞從 Kraken 的財務中提取資金,而不是保護這些資金。
Kraken 安全長 Nick Percoco 透露,這位研究人員及其關聯的兩個帳戶利用這個漏洞提取了超過 300 萬美元。在漏洞利用之後,研究人員要求對竊取的資金給予獎勵,然後才同意歸還這些資金。Percoco 在 6 月 19 日的 X 貼文中表示,這種行為不是白帽駭客,而是敲詐。
針對這些事件,Kraken 強調,被竊的加密貨幣來自其交易所財庫,沒有用戶資金受到影響。
對此,安全審計公司 CertiK 在 X 平台上直接承認,Kraken 所指的安全漏洞研究員是 CertiK 的白帽駭客。CertiK 辯稱,在成功識別和修復漏洞的初步成功後,Kraken 的安全營運團隊甚至在沒有提供還款地址的情況下,威脅 CertiK 的個別員工在不合理的時間內償還不匹配的加密貨幣金額。
然而,當社群開始深入追蹤這起事件後發現,攻擊者從 Kraken 竊取資金之後,竟然將某部分資金存入混幣器,這似乎不是一位乾淨的白帽駭客會有的正常行為。
此外,鏈上偵探 0xBoboShanti 也指出,某位 Certik 安全研究人員之前曾公開發布的地址,早在 5 月 27 日就進行了探測和測試,這與 Certik 批售的事件時間表有所矛盾。
這起事件目前尚未得出結論,但綜合所有資訊來看,整體風向對 CertiK 相當不利。
