发现漏洞「先吃再报」？CertiK 遭质疑「敲诈 Kraken 交易所」

明明生成 4 美元就足以证明漏洞的存在，为何 Certik 的安全研究员坚持要从 Kraken 提取近 300 万美元？

昨晚，加密货币交易所 Kraken 和区块链安全公司 CertiK 在社群媒体上就一系列严重的安全漏洞问题发生了公开对峙。

最初，CertiK 在 Kraken 发现了一系列严重漏洞，该漏洞源自最近 Kraken 的用户体验（UX）变化，该变化会在客户资产结算前立即为客户帐户记帐，并允许客户即时交易加密货币市场，而 Kraken 暂未针对这种特定攻击向量进行充分测试。

简单来说，该漏洞允许恶意攻击者在未完全完成存款的情况下，发动存款操作并在其帐户中收到资金。

在 Kraken 对该漏洞进行检查后，立即将其评估为「关键」（Critical），并在 47 分钟后由 Kraken 的专家团队缓解了这个问题。随后，Kraken 首席安全长 Nick Percoco 表示该问题已完全修复，并且不会再次发生。

然而有趣的事情发生了，Nick Percoco 指出 CertiK 在此次「安全检查」中套走了 Kraken 近 300 万美元，而 CertiK 则对此表示坚决否认。

白帽还是敲诈？

在 Kraken 的事后调查中发现，三个帐户在几天内利用了这一漏洞，其中一个帐户通过身份认证（KYC）关联到 CertiK 工作人员，他利用漏洞将其帐户余额增加了 4 美元。

理论上，生成 4 美元时就足以证明漏洞的存在，且该漏洞被 Kraken 评估为「关键」（Critical），这就意味著只要退回生成的 4 美元，就能够向 Kraken 申请 100 至 150 万美元的赏金。

然而，这位「安全研究员」却选择将该漏洞透露给了与他合作的另外两个人，后者利用这个漏洞产生了更大金额的资金，最终从他们的 Kraken 帐户提取了近 300 万美元。

当 Kraken 向 CertiK 要求提供活动的详细说明，创建链上活动的概念验证，并安排归还他们提取的资金时，CertiK 却表示拒绝，并要求与其 BD 团队通话。同时，CertiK 也表示在 Kraken 提供一个假设的可能损失金额之前，不同意归还任何资金。

至此，Kraken 首席安全官 Nick Percoco 在推文中将 CertiK 的行为标榜为敲诈，并将此 300 万美元的损失视为「刑事案件」，目前正与执法部门协调追回资金。

随后，CertiK 在 X 上为自己的行为辩护。

CertiK 对 Kraken 的测试主要围绕三个问题，即恶意行为者能否伪造存款交易到 Kraken 帐户？恶意行为者能否提取伪造的资金？大额提款请求可能触发哪些风险控制和资产保护？而 CertiK 认为 Kraken 交易所未通过所有这些测试，这表明 Kraken 的深度防御系统在多个方面被破坏。

CertiK 表示，由于漏洞让数百万美元可以存入任何 Kraken 帐户，而在多天的测试期间，Kraken 没有触发任何警报，一直到 CertiK 的正式报告事件后才响应并锁定了测试帐户。

至于 Kraken 的 300 万美元损失，CertiK 声称 Kraken 威胁了公司员工，Kraken 要求归还的资金总额与其所窃取的加密货币「不匹配」。同时，CertiK 揭露了全部存款地址，并表示会根据记录将现有的资金转移到 Kraken 能够存取的帐户。

社群扒黑料

这家一直被诟病的安全公司又出事了，加密货币社群迅速前排吃瓜。

Cyvers.AI 的创办人 Meir Dolev 表示：「据链上分析，在 Kraken 事件爆出 26 天前，就有相同的签章哈希对 Coinbase 进行了类似的提款活动。另外，14 天前 Polygon 网路上也出现了使用相同签名哈希的转帐行为。」

Certik 先前声称是在 6 月 5 日才发现并利用了 Kraken 的漏洞，但链上证据似乎表明，它可能早已掌握该漏洞并实施了多次类似行为。业内人士质疑 Certik 公布的时间线是否属实，它是否早已利用漏洞长期转移资金。这项发现无疑加剧了对 Certik 操守的质疑。

不仅如此，作为安全公司的 CertiK，其安全性也受到质疑。

Synthetix 的 Adam Cochran 表示，「CertiK 是彻头彻尾的罪犯，其行为已经完全背离了安全公司的职业操守。鉴于 CertiK 审计过的项目屡屡被黑客攻击，该公司为何还能存在至今?」

在随后的几个小时内，Synthetix 再次对 CertiK 的专业和公信力提出严重的质疑。「CertiK 安全审计师利用职务之便，透过受制裁的 Tornado Cash 等管道转移和抛售资产，行为模式与骇客组织无恶不作组织 Lazarus 相似。」

据揭露，CertiK 的安全审计师不仅透过 Tornado Cash 转移资产，还透过 ChangeNOW 抛售资产，与 Lazarus 骇客组织入侵加密协议后的常见做法如出一辙。有分析人士表示，Lazarus 入侵的 Certik 审计协议比其他任何协议都多，这引发了外界对 Certik 内部是否早已遭骇客渗透的质疑。

尽管目前尚无法确定整个 CertiK 公司是否参与其中，但这确实让人怀疑 Certik 的安全研究团队是否早已「受损」。

有相关人士指出，鉴于北韩骇客组织曾让代理人利用 DeFi 协议寻找工作，他们是否也与 CertiK 的审计师「勾结」? 否则很难解释，为何一家拥有众多知名投资者的美国公司，会勒索交易所并违反美国对洗钱协议的制裁。

Puffer Finance 的陈剑表示，「有前员工透露，CertiK 高层过于重视盈利，价值观出现偏差。该公司曾发行代币后遭抛弃，令投资者蒙受损失。建议项目方谨慎选择 CertiK 进行安全审计。」陈剑认为 CertiK 基本上成为一家「用光环包装且收费昂贵的盖章公」，它审计过的项目屡屡出现安全问题。

此外，也有人揭露「一些 CertiK 内部审核员泄漏了公司的机密资讯和审计细节」。

对于 CertiK 的劣迹，多名业内人士狠批 CertiK「令人作呕」、「不道德」、「不负责任」、「妄想」、「毫无价值」。大量加密社群成员加入了这场对 CertiK 的口诛笔伐，其中，前 OKX 员工紫夜表示：「有人踢到铁板了。」

DegenBing.eth | Buji DAO 直言吹捧 CertiK 的人非蠢即坏，「大家赶紧准备好爆米花，后续应该会很精彩」。社群使用者 @tayvano_ 也对 CertiK 表示嘲讽，「CertiK 的行为绝对没有任何借口，根本无法被视为合法的白帽子测试」，并呼吁 CertiK「滚出去」。

CrertiK，只剩「谤满天下」？

从社群反应可以看出，这次事件里的主角 CertiK 已经不是第一次卷入争议了。 CertiK 诞生于 2017 年，曾经 Web3 安全领域的明星计划。其创办人是为耶鲁大学电脑系主任、终身教授邵中、哥伦比亚大学电脑系教授顾荣辉，皆为安全领域的顶尖学者。

2021 年，CertiK 开始迅速发展，在不到一年的时间内拿了五次融资，囊括了高盛、老虎、软银、红杉、高瓴等最豪华的资方，当年在 CoinMarketCa 所有经安全审计的 DeFi 在项目中，CertiK 的市占率达 70%，远超过同行，其合作客户包括 Aave 、 Polygon 、 Yearn Finance 和 Chiliz 等领先项目。

但另一半，自 CertiK 推出之后，其面临的争议也没有断过，社群一直质疑 CertiK 一边占有 Web3 安全领域的绝大部分市场，一边却不能保证经手项目的安全性。甚至有人吐槽过，「CertiK 审计的未必都跑路，但是跑路的几乎都是 CertiK 审计，而且都喜欢对外宣称有升级，但实际结果大家都知道，以至于『CertiK 审计』几乎成了避雷指南。

2023 年 4 月，极客公园访问了 CertiK CEO 顾荣辉，其用一句「誉满天下，谤满天下」回应这些争议。对于频频出现的安全问题，CertiK 都视其为「不可避免的情况」，应对方式是公开安全审计报告，让社群自发性检查，顾荣辉曾表示，不希望 CertiK 变成一个「章」、一个防盗的「证书」。

就在极客公园这篇采访 CertiK 的报导发出后不久，基于 zkSync 的去中心化交易平台 Merlin 被盗走约 182 万美元，而在这之前，Merlin 刚刚通过了 CertiK 的审计，这次 CertiK 将 Merlin 攻击归咎于「流氓开发者」。

一个月后，DeFi 项目 Swaprum 在接受 CertiK 审计几周后跑路，卷走了总额达 300 万美元的客户资金。社群将矛头指向 CertiK，称其批准了「又一阴谋」。

种种事故之外，社群也对于 CertiK 的技术障碍产生质疑。

CertiK 利用形式化验证和 AI 技术协作提供端到端的区块链安全审计服务，简单来说，就是透过形式验证和手动验证相结合，利用大语言模型自动检查源代码的问题，进行模拟攻击，再由安全工程师对提出的问题进行回馈。

而创办人则对其机制充满自信，「即使我们的技术不发展，但只要我们能见到更多的程式码、有更多的人对它进行标注，我们的引擎就会变得越来越好」。

除了审计结果不可信这一点，CertiK 的黑历史还包括其发币经历，CertiK 曾在 2021 年推出过 Certik chain 及其代币 CTK，但现在 Certik 官网上，已经找不到其代币 CTK 的介绍。

据了解，CTK 当时共有两轮私募轮，一轮额度 29%，价格为 0.77 美元；二轮额度 9%，价格为 1.9 美元。而 CTK 上线后，经过短暂冲锋就开始了下跌模式，截止撰稿时，其价格为 0.8 美元。

这次卷入「敲诈 Kraken」争议后，尽管 Kraken 确实存在漏洞，社群的态度却出奇的一致，纷纷历数 CertiK 的过往事迹。从拥有豪华融资阵容、估值 20 亿美元的 Web3 安全领域明星项目，到陷入种种争议、被视为「避雷标签」，CertiK 这几年的经历让社群唏嘘，也给还在场上的项目方提供了警示。