发现漏洞先吃再报？加密安全独角兽CertiK与交易所Kraken公开撕逼

昨晚，加密货币交易所 Kraken 和区块链安全公司 CertiK 在社交媒体上就一系列严重的安全漏洞问题发生了公开对峙。

最初，CertiK 在 Kraken 发现了一系列严重漏洞，该漏洞源自最近 Kraken 的用户体验（UX）变化，该变化会在客户资产结算前立即为客户账户记账，并允许客户实时交易加密货币市场，而 Kraken 暂未针对这种特定攻击向量进行充分测试。

简单来说，该漏洞允许恶意攻击者在未**完成存款的情况下，发起存款操作并在其账户中收到资金。

在 Kraken 对该漏洞进行检查后，立即将其评估为「关键」（Critical），并在 47 分钟后由 Kraken 的专家团队缓解了这个问题。随后，Kraken **安全官 Nick Percoco 表示该问题被**修复，并且将不会再次发生。

时间发生时间线，图源：CertiK 官方 X

然而有趣的事情发生了，Nick Percoco指出CertiK 在此次「安全检查」中套走了 Kraken 近 300 万美元，而 CertiK 则对此表示坚决否认。

白帽行为还是敲诈？

在 Kraken 的事后调查中发现，三个账户在几天内利用了这一漏洞，其中一个账户通过身份认证（KYC）关联到 CertiK 工作人员，他利用漏洞将其账户余额增加了 4 美元。

理论上，生成 4 美元时就足以证明漏洞的存在，且该漏洞被 Kraken 评估为「关键」（Critical），这就意味着只要退回生成的 4 美元，就能够向 Kraken 申请 100 至 150 万美元的赏金。

Kraken 漏洞赏金计划的奖金。来源：Kraken

然而，此「安全研究员」却选择将该漏洞透露给了与他合作的另外两个人，后者利用这个漏洞生成了更大金额的资金，**从他们的 Kraken 账户提取了近 300 万美元。

当 Kraken 向 CertiK 要求提供活动的详细说明，创建链上活动的概念验证，并安排归还他们提取的资金时，CertiK 却表示拒绝，并要求与其 BD 团队通话。同时，CertiK 还表示在 Kraken 提供一个假设的可能损失金额之前，不同意归还**资金。

至此，Kraken **安全官 Nick Percoco 在推文中将 CertiK 的行为标榜为敲诈，并将此 300 万美元的损失视为「刑事案件」，目前正与执法部门协调追回资金。

随后，CertiK 在 X 上为自己的行为辩护。

CertiK 对 Kraken 的测试主要围绕三个问题，即恶意行为者能否**存款交易到 Kraken 账户？恶意行为者能否提取**的资金？大额提款请求可能触发哪些风险控制和资产保护？而 CertiK 认为 Kraken 交易所未通过所有这些测试，这表明 Kraken 的深度防御系统在多个方面被**。

CertiK 表示，由于漏洞让数百万美元可以被存入** Kraken 账户，而在多天的测试期间，Kraken 没有触发**警报，一直到 CertiK 的正式报告事件后才响应并锁定了测试账户。

至于 Kraken 的 300 万美元损失，CertiK 声称 Kraken 威胁了公司员工，Kraken 要求归还的资金总额与其所盗取的加密货币「不匹配」。同时，CertiK 披露了**存款地址，并表示会根据记录将现有的资金转移到 Kraken 能够访问的账户。

社区扒料更劲爆

这个一直被诟病的安全公司又出事了，加密社区迅速前排吃瓜。

Cyvers.AI 的创始人 Meir Dolev表示「据链上分析，在 Kraken 事件爆出 26 天前，就有相同的签名哈希对 Coinbase 进行了类似的提款活动。另外，14 天前 Polygon 网络上也出现了使用相同签名哈希的转账行为。」

Certik 此前声称是在 6 月 5 日才发现并利用了 Kraken 的漏洞，但链上证据似乎表明，它可能早已掌握该漏洞并实施了多次类似行为。业内人士质疑 Certik 公布的时间线是否属实，它是否早已利用该漏洞长期转移资金。这一发现无疑加剧了对 Certik 操守的质疑。

不仅如此，作为安全公司的 CertiK，其安全性也在遭到质疑。

Synthetix 的 Adam Cochran表示，「CertiK 是彻头彻尾的罪犯，其行为已经**背离了安全公司的职业操守。鉴于 CertiK 审计过的项目屡屡被黑客攻击，该公司为何还能存在至今?」

随后的几个小时内，Synthetix 再次对 CertiK 的 专业性和公信力提出严重的质疑。「CertiK 安全审计师利用职务之便，通过受制裁的 Tornado Cash 等渠道转移和抛售资产，行为模式与黑客组织无恶不作组织 Lazarus 相似。」

据披露，CertiK 的安全审计师不仅通过 Tornado Cash 转移资产，还通过 ChangeNOW 抛售资产，与 Lazarus 黑客组织入侵加密协议后的常见做法如出一辙。有分析人士表示，Lazarus 入侵的 Certik 审计协议比其他**协议都多，这引发了外界对 Certik 内部是否早已遭黑客渗透的质疑。

尽管目前尚无法确定整个 CertiK 公司是否参与其中，但这确实让人怀疑 Certik 的安全研究团队是否早已「受损」。

有相关人士指出，鉴于朝鲜黑客组织曾让代理人利用 DeFi 协议寻找工作，他们是否也与 CertiK 的审计师「勾结」? 否则很难解释，为何一家拥有众多知名投资者的美国公司，会**交易所并违反美国对**协议的制裁。

Puffer Finance 的 陈剑表示，「有前员工透露，CertiK 高层过于重视盈利，价值观出现偏差。该公司曾发行**后遭抛弃，令投资者蒙受损失。建议项目方谨慎选择 CertiK 进行安全审计。」陈剑认为 CertiK 基本成为一家「用光环包装且收费昂贵的盖章公」，它审计过的项目屡屡出现安全问题。

此外，还有人披露「一些 CertiK 内部审核员泄露了公司的机密信息和审计细节」。

对于 CertiK 的劣迹，多名业内人士狠批 CertiK「令人作呕」、「不道德」、「不负责任」、「妄想」、「毫无价值」。大量加密社区成员加入了这场对 CertiK 的口诛笔伐，其中，前 OKX 员工紫夜表示：「有人踢到铁板了。」

DegenBing.eth | Buji DAO直言吹捧 CertiK 的人非蠢即坏，「大家赶紧准备好爆米花，后续应该会很精彩」。社区用户 @tayvano_ 也对 CertiK表示嘲讽，「CertiK 的行为**没有**借口，根本无法被视为合法的白帽子测试」，并呼吁 CertiK「滚出去」。

CrertiK，只剩「谤满天下」？

从社区反应中可以看出，这次事件里的主人公 CertiK 已经不是**次卷入争议了。CertiK 诞生于 2017 年，曾经 Web3 安全领域的明星项目。其创始人是为耶鲁大学计算机系主任、终身教授邵中以及哥伦比亚大学计算机系教授顾荣辉，均为安全领域的**学者。

2021 年，CertiK 开始迅速发展，在不到一年的时间内拿了五次融资，囊括了高盛、老虎、软银、红杉、高瓴等最豪华的资方，当年在 CoinMarketCa 所有经安全审计的 DeFi 项目中，CertiK 的市占率达 70%，远远超过同行，其合作客户包括 Aave、Polygon、Yearn Finance 和 Chiliz 等**项目。

但另一半，自 CertiK 推出之后，其面临的争议也没有断过，社区一直质疑 CertiK 一边占有着 Web3 安全领域的绝大部分市场，一边却不能保证经手项目的安全性。甚至有人吐槽过，「CertiK 审计的未必都跑路，但是跑路的几乎都是 CertiK 审计，而且都喜欢对外宣称有升级，但实际结果大家都知道，以至于『CertiK 审计』几乎成了避雷指南。」

2023 年 4 月，极客公园采访了 CertiK CEO 顾荣辉，其用一句「誉满天下，谤满天下」回应这些争议。对于频频出现的安全问题，CertiK 都视其为「不可避免的情况」，应对方式是公开安全审计报告，让社区自发检查，顾荣辉曾表示，不希望 CertiK 变成一个「章」、一个防盗的「证书」。

就在极客公园这篇采访 CertiK 的报道发出后不久，基于 zkSync 的去**化交易平台 Merlin 被盗走约 182 万美元，而在这之前，Merlin 刚刚通过了 CertiK 的审计，这次 CertiK 将 Merlin 攻击归咎于「流氓开发者」。

一个月后，DeFi 项目 Swaprum 在接受 CertiK 审计几周后跑路，卷走了总额达 300 万美元的客户资金。社区将矛头指向 CertiK，称其批准了「又一阴谋」。

种种事故之外，社区也对于 CertiK 的技术壁垒产生质疑。

CertiK 利用形式化验证和 AI 技术协作提供端到端的区块链安全审计服务，简单来说，就是通过形式验证和手动验证相结合，利用大语言模型自动检查源代码的问题，进行模拟攻击，再由安全工程师对提出的问题进行反馈。

而创始人则对其机制充满自信，「即使我们的技术不发展，但只要我们能见到更多的代码、有更多的人对它进行标注，我们的引擎就会变得越来越好。然后我们的安全程度会越来越高，并有越来越多的客户，而这又会让引擎越来越好。就是这样一个正循环。」

除了审计结果不可信这点，CertiK 的黑历史还包括其发币经历，CertiK 曾在 2021 年推出过 Certik chain 及其** CTK，但现在 Certik 官网上，已经找不到其** CTK 的介绍。

据了解，CTK 当时共有两轮私募轮，一轮额度 29%，价格为 0.77 美元；二轮额度 9%，价格为 1.9 美元。而 CTK 上线后，经过短暂冲锋就开始了下跌模式，截止撰稿时，其价格为 0.8 美元。

这次卷入「敲诈 Kraken」争议后，尽管 Kraken 确实存在漏洞，社区的态度却出奇的一致，纷纷历数 CertiK 的过往事迹。从拥有豪华融资阵容、估值 20 亿美元的 Web3 安全领域明星项目，到陷入种种争议、被视为「避雷标签」，CertiK 这几年的经历让社区唏嘘，也给还在场上的项目方提供了警示。