审计公司变黑客？Kraken指控CertiK假好心帮查漏洞实则恶意敲诈

美国知名加密货币交易所Kraken近日透露，一名自称安全研究人员的黑客利用其平台上的一个严重漏洞，窃取了价值300万美元的数位资产，并对Kraken进行「敲诈」。这位骇客在6月9日报告了这个漏洞，但却借此漏洞从Kraken的财务中提取资金。

Kraken的安全长Nick Percoco表示，这名研究人员及其关联的两个可疑帐户利用漏洞提取了超过300万美元的资金。 Percoco指出，该研究人员在窃取资金后，要求Kraken给予白帽骇客奖励，才同意归还这些资金。他强调这种行为并非白帽骇客行为，而是纯粹的敲诈。

最终Kraken经过追踪评估，确定此次为刑事案件，并正与执法部门合作，试图追回这些资金。

CertiK抱屈：白帽骇客被Kraken威胁！

区块链安全机构CertiK替众多加密项目、企业提供智能合约审计、资安服务。CertiK今日直接在X 平台承认，指出自己就是发现Kraken一系列严重漏洞的骇客。根据CertiK 的调查，Kraken 的存款系统无法区分不同的内部转帐状态，存在恶意行为者可以伪造存款交易并提取资金。

CertiK 表示，在测试期间，数百万美元的伪造资金可以被存入Kraken 帐户，并成功提取超过100 万美元的伪造加密货币转化为有效资产，且Kraken 系统未触发任何警报。

在接到CertiK 的通知后，Kraken 将这些漏洞归类为最高等级「严重(Critical)」，并进行了初步修复。然而， CertiK 指控，Kraken 的安全团队随后威胁CertiK 员工，要求在不合理的时间内偿还金额不匹配的加密货币，且未提供还款地址。

最终CertiK 决定公开此事，呼吁Kraken 停止对白帽黑客的任何威胁。 CertiK 强调，透明和合作是解决此类安全问题的关键，并敦促Kraken 在解决漏洞问题的同时，也请尊重安全研究人员的工作。

链上侦探：白帽测试把资金转进混币器？

随着越深入的追踪，有多位区块链专家、侦探揭露，早在一个月前，就已经有相同的哈希签名对Kraken 进行类似的提款行为，这个时间点与CertiK 公布测试的时间不同。CertiK看似一切出于好意的善举，但真相似乎不是如此…

值得注意的是，链上侦探@0xBoboShanti更进一步指出，该测试地址的资金来源于CertiK 的一个Tornado Cash 交易(Tornado tx)，该钱包最近一直在与相同的合约进行交互。

这些新的证据使得CertiK 在事件中的角色更加可疑，作为一个安全机构，CertiK 将资金转移至被美国封杀的混币器Tornado Cash，并且其行为与其公开的时间表不符。虽然此事件真相尚待确认，且演变为各说各话的罗生门，但社群的风向已经大大不利CertiK…