Kraken被盗300万美元！CertiK疑似利用Kraken漏洞牟利

6月20日，Kraken首席战略官Nick Percoco表示，该交易平台将近期近300万美元的损失视为「刑事案件」，正与执法部门协调追回资金。

Percoco称这些未透露姓名的CertiK 研究人员通过在存款完成之前提取已存入其账户的资金，从Kraken窃取了数百万美元的加密货币。他写道，攻击者「可以有效地印制资产」。

而CertiK在 X上为自己的行为辩护，声称 Kraken 威胁了公司员工。CertiK 还声称，Kraken 要求归还的资金总额与其所盗取的加密货币「不匹配」。

针对Kraken和CertiK之间的安全漏洞报告争议，链上侦探@0xBoboShanti称，一位Certik安全研究人员之前发布的一个地址早在5月27日就进行了探测和测试，这与Certik的事件时间表产生了矛盾。更进一步，该测试地址资金源于Certik的一个Tornado交易(Tornado tx)，该钱包最近(直到今天)一直在与相同的合约进行交互，这一发现将这一事件与原始的安全研究人员联系了起来。

安全研究员@tayvano进一步指出，该交易的Certik报告揭示了Kraken的存款地址0xa172342297f6e6d6e7fe5df752cbde0aa655e61c(MATIC)。在以太坊网路上，这个相同的地址被用来进行提款操作，具体的提领地址包括：0x3c6a231b1ffe2ac29ad9c7e392c8302955a97bb3、0xdc6af6b6fd88075d55ff3c4f2984630f6b6fd88075d55ff3c4f29846300fp 61aa5091ffa56d3a599。这些提款地址提取大量资金后抛售UDDT并使用ChangeNOW进行多次最大值交换。

@tayvano写道：「抛售USDT并使用ChangeNOW并不能坐实该地址为黑客，但利用CEX系统中未披露的漏洞为自己谋取经济利益才是黑客。在漏洞被披露之前进行抛售和即时交易只是给这个疯狂的局势增添了更多的混乱。退还的资金超过了他们提走的资金。

先前Kraken首席安全官Nick Percoco称该公司在收到安全漏洞报告后并修复后，发现有三个帐户利用了该漏洞，从Kraken金库中提取了近300万美元，其中一个帐户属于最初报告漏洞的研究员。对此，CertiK在X平台披露，Kraken所指的安全漏洞研究员系CertiK白帽骇客，并辩称：「在成功识别和修复漏洞的初步成功后，Kraken的安全营运团队甚至在没有提供还款地址的情况下，威胁CertiK的个别员工在不合理的时间内偿还不匹配的加密货币金额。