昨晚，加密貨幣交易所 Kraken 和區塊鏈安全公司 CertiK 在社群媒體上就一系列嚴重的安全漏洞問題發生了公開對峙。

最初，CertiK 在Kraken 發現了一系列嚴重漏洞，該漏洞源自最近Kraken 的用戶體驗（UX）變化，該變化會在客戶資產結算前立即為客戶帳戶記賬，並允許客戶即時交易加密貨幣市場，而Kraken 暫未針對這種特定攻擊向量進行充分測試。

簡單來說，該漏洞允許惡意攻擊者在未完全完成存款的情況下，發動存款操作並在其帳戶中收到資金。

在Kraken 對該漏洞進行檢查後，立即將其評估為“關鍵”（Critical），並在47 分鐘後由Kraken 的專家團隊緩解了這個問題。隨後，Kraken 首席安全長 Nick Percoco 表示該問題已完全修復，並且不會再次發生。

時間發生時間線，圖源：CertiK 官方X

然而有趣的事情發生了，Nick Percoco指出CertiK 在此次「安全檢查」中套走了Kraken 近300 萬美元，而CertiK 則對此表示堅決否認。但在事情發酵半天后，CertiK又表示已經返還了所涉資金，資金總額也確實為300萬美元左右，只是具體代幣與Kraken所宣稱的情況不符。

白帽行為還是敲詐？

在Kraken 的事後調查中發現，三個帳戶在幾天內利用了這個漏洞，其中一個帳戶通過身份認證（KYC）關聯到CertiK工作人員，他利用漏洞將其帳戶餘額增加了4 美元。

理論上，產生4 美元時就足以證明漏洞的存在，且該漏洞被Kraken 評估為「關鍵」（Critical），這就意味著只要退回產生的4 美元，就能夠向Kraken 申請100 至150 萬美元的賞金。

Kraken 漏洞賞金計畫的獎金。資料來源：Kraken

然而，此「安全研究員」卻選擇將該漏洞透露給了與他合作的另外兩個人，後者利用這個漏洞生成了更大金額的資金，最終從他們的Kraken 帳戶提取了近300 萬美元。

當Kraken 向CertiK 要求提供活動的詳細說明，創建鏈上活動的概念驗證，並安排歸還他們提取的資金時，CertiK 卻表示拒絕，並要求與其BD 團隊通話。同時，CertiK 也表示在 Kraken 提供假設的可能損失金額之前，不同意歸還任何資金。

至此，Kraken 首席安全官Nick Percoco 在推文中將CertiK 的行為標榜為敲詐，並將此300 萬美元的損失視為“刑事案件” ，目前正與執法部門協調追回資金。

隨後，CertiK 在X上為自己的行為辯護。

CertiK 對 Kraken 的測試主要圍繞三個問題，即惡意行為者能否偽造存款交易到 Kraken 帳戶？惡意行為者能否提取偽造的資金？大額提款請求可能觸發哪些風險控制和資產保護？而 CertiK 認為 Kraken 交易所未通過所有這些測試，這表明 Kraken 的深度防禦系統在多個方面被破壞。

CertiK 表示，由於漏洞讓數百萬美元可以存入任何Kraken 帳戶，而在多天的測試期間，Kraken 沒有觸發任何警報，一直到CertiK 的正式報告事件後才回應並鎖定了測試帳戶。

至於Kraken 的300 萬美元損失，CertiK 聲稱Kraken 威脅了公司員工，Kraken 要求歸還的資金總額與其所盜取的加密貨幣「不匹配」 。同時，CertiK 揭露了全部存款地址，並表示會根據記錄將現有的資金轉移到 Kraken 能夠存取的帳戶。

在引起社群關注後，CertiK更新了回應態度，發布了一條推文解釋了包括資金返還、漏洞披露以及測試目的等事件細節，其中CertiK 確認已返還所有持有的資金，但總金額與Kraken 要求不一致。返還金額包括 734.19215 ETH、29,001 USDT 和 1021.1 XMR，而 Kraken 請求返還的金額為 155818.4468 MATIC、907400.1803 USDT、475.5557871 ETH74089.703 USDT、475.5557871 ETH 和 1479.3476903。

社區扒料更勁爆

這個一直被詬病的安全公司又出事了，加密社區迅速前排吃瓜。

Cyvers.AI 的創辦人Meir Dolev 表示「根據鏈上分析，在Kraken 事件爆出26 天前，就有相同的簽名哈希對Coinbase 進行了類似的提款活動。另外，14 天前Polygon 網路上也出現了使用相同簽名哈希的轉帳行為。可能早已掌握漏洞並實施了多次類似行為。業內人士質疑 Certik 公佈的時間線是否屬實，它是否早已利用漏洞長期轉移資金。這項發現無疑加劇了對 Certik 操守的質疑。

不只如此，作為安全公司的CertiK，其安全性也遭到質疑。

Synthetix 的Adam Cochran表示 ，「CertiK 是徹頭徹尾的罪犯，其行為已經完全背離了安全公司的職業操守。鑑於CertiK 審計過的項目屢屢被黑客攻擊，該公司為何還能存在至今?」

在隨後的幾個小時內，Synthetix 再次對 CertiK 的 專業和公信力提出嚴重的質疑。 「CertiK 安全審計師利用職務之便，透過受制裁的Tornado Cash 等管道轉移和拋售資產，行為模式與駭客組織無惡不作組織Lazarus 相似。」

據揭露，CertiK 的安全審計師不僅透過Tornado Cash 轉移資產，還透過ChangeNOW 拋售資產，與Lazarus 駭客組織入侵加密協議後的常見做法如出一轍。有分析人士表示，Lazarus 入侵的 Certik 審計協議比其他任何協議都多，這引發了外界對 Certik 內部是否早已遭駭客滲透的質疑。

儘管目前尚無法確定整個 CertiK 公司是否參與其中，但這確實讓人懷疑 Certik 的安全研究團隊是否早已「受損」。

有相關人士指出，鑑於北韓駭客組織曾讓代理人利用DeFi 協定尋找工作，他們是否也與CertiK 的審計師「勾結」? 否則很難解釋，為何一家擁有眾多知名投資者的美國公司，會勒索交易所並違反美國對洗錢協議的製裁。

Puffer Finance 的陳劍表示，「有前員工透露，CertiK 高層過於重視盈利，價值觀出現偏差。該公司曾發行代幣後遭拋棄，令投資者蒙受損失。安全問題。

此外，還有人揭露「一些CertiK 內部審核員洩露了公司的機密資訊和審計細節」。

對於CertiK 的劣質，多位業內人士狠批CertiK「令人作嘔」、「不道德」、「不負責任」、「妄想」、「毫無價值」。大量加密社區成員加入了這場對CertiK 的口誅筆伐，其中，前OKX 員工紫夜表示： 「有人踢到鐵板了。」

DegenBing.eth | Buji DAO 直言吹捧CertiK 的人非蠢即壞，「大家趕緊準備好爆米花，後續應該會很精彩」。社群使用者@tayvano_ 也對CertiK 表示嘲諷，「CertiK 的行為絕對沒有任何藉口，根本無法被視為合法的白帽測試」，並呼籲CertiK「滾出去」。

CrertiK，只剩「嫖滿天下」？

從社群反應可以看出，這次事件裡的主角 CertiK 已經不是第一次捲入爭議了。 CertiK 誕生於 2017 年，曾經 Web3 安全領域的明星計畫。其創辦人是為耶魯大學電腦系主任、終身教授邵中、哥倫比亞大學電腦系教授顧榮輝，皆為安全領域的頂尖學者。

2021 年，CertiK 開始迅速發展，在不到一年的時間內拿了五次融資，囊括了高盛、老虎、軟銀、紅杉、高瓴等最豪華的資方，當年在CoinMarketCap 所有經安全審計的DeFi 專案中，CertiK 的市佔率達70%，遠超過同行，其合作客戶包括Aave、Polygon、Yearn Finance 和Chiliz 等領先專案。

但另一半，自CertiK 推出之後，其面臨的爭議也沒有斷過，社群一直質疑CertiK 一邊佔有Web3 安全領域的絕大部分市場，一邊卻不能保證經手專案的安全性。甚至有人吐槽過，「CertiK 審計的未必都跑路，但是跑路的幾乎都是CertiK 審計，而且都喜歡對外宣稱有升級，但實際結果大家都知道，以至於『CertiK 審計』幾乎成了避雷指南。

2023 年 4 月，極客公園採訪了 CertiK CEO 顧榮輝，其用一句「譽滿天下，樂滿天下」回應這些爭議。對於頻頻出現的安全問題，CertiK 都視其為「不可避免的情況」，應對方式是公開安全審計報告，讓社區自發性檢查，顧榮輝曾表示，不希望CertiK 變成一個「章」、一個防盜的「證書」。

就在極客公園這篇採訪CertiK 的報道發出後不久，基於zkSync 的去中心化交易平台Merlin 被盜走約182 萬美元，而在這之前，Merlin 剛剛通過了CertiK 的審計，這次CertiK 將Merlin 攻擊歸咎於「流氓開發者」。

一個月後，DeFi 專案 Swaprum 在接受 CertiK 審計幾週後跑路，捲走了總額達 300 萬美元的客戶資金。社區將矛頭指向 CertiK，稱其批准了「另一個陰謀」。

種種事故之外，社群也對於 CertiK 的技術壁壘產生質疑。

CertiK 利用形式化驗證和AI 技術協作提供端到端的區塊鏈安全審計服務，簡單來說，就是透過形式驗證和手動驗證相結合，利用大語言模型自動檢查原始碼的問題，進行模擬攻擊，再由安全工程師對提出的問題進行回饋。

而創辦人則對其機制充滿自信，「即使我們的技術不發展，但只要我們能見到更多的程式碼、有更多的人們對它進行標註，我們的引擎就會變得越來越好。這樣一個正循環。 chain 及其代幣CTK，但現在Certik 官網上，已經找不到其代幣CTK 的介紹。

據了解，CTK 當時共有兩輪私募輪，一輪額度 29%，價格為 0.77 美元；二輪額度 9%，價格為 1.9 美元。而 CTK 上線後，經過短暫衝鋒就開始了下跌模式，截止撰稿時，其價格為 0.8 美元。

這次捲入「敲詐 Kraken」爭議後，儘管 Kraken 確實存在漏洞，社區的態度卻出奇的一致，紛紛歷數 CertiK 的過往事蹟。從擁有豪華融資陣容、估值20 億美元的Web3 安全領域明星項目，到陷入種種爭議、被視為“避雷標籤”，CertiK 這幾年的經歷讓社區唏噓，也給還在場上的項目方提供了警示。

欢迎加入律动 BlockBeats 官方社群：

Telegram 订阅群：https://t.me/theblockbeats

Telegram 交流群：https://t.me/BlockBeats_App

Twitter 官方账号：https://twitter.com/BlockBeatsAsia