CertiK 揭露加密貨幣交易所 Kraken 的漏洞細節，並拒絕敲詐勒索的指控

區塊鏈安全公司 CertiK 近期揭露了其在加密貨幣交易所 Kraken 發現的一個嚴重漏洞，並公開了隨後的爭議過程。同時，CertiK 堅決否認了 Kraken 對其的敲詐勒索指控，並表示將退還用於測試的資金。

漏洞的發現與採取的措施

CertiK 表示，其研究人員於 6 月 5 日發現 Kraken 的存款系統存在一個漏洞，該漏洞可能允許惡意行爲者僞造存款交易並提取虛假資金。CertiK 隨即展開了深入調查和一系列測試，以驗證漏洞的實際風險。

CertiK 的測試揭示了一個驚人的結果：數百萬美元可以存入任何 Kraken 賬戶，且價值超過 100 萬美元的僞造加密貨幣可以被提取並轉換成有效貨幣。在數天的測試期間，這些操作沒有觸發任何警報。Kraken 直到幾天後纔對事件做出迴應，並鎖定了測試賬戶。

產生爭議及造成損失

儘管最初 CertiK 和 Kraken 成功溝通並採取措施修復漏洞，但情況隨後惡化。6 月 18 日，Kraken 被指控威脅 CertiK 員工，要求在不合理的時間內償還“不匹配”的金額，且未提供相關的錢包地址。

Kraken 首席安全官 Nick Percoco 於 6 月 19 日透露，由於該漏洞，其錢包損失了近 300 萬美元。他指出，6 月 9 日，Kraken 收到一名“安全研究員”的匿名舉報，揭露了資金系統中的嚴重漏洞。Kraken 發現有三個賬戶在短時間內利用了這一漏洞。

CertiK 的迴應與退款****計劃

CertiK 否認了 Kraken 的敲詐勒索指控，並表示由於 Kraken 未能提供還款地址，且請求的金額不匹配，CertiK 將根據記錄將資金轉回 Kraken 可以訪問的賬戶。CertiK 強調，這些資金原本是用於“白帽測試”的。

Kraken 指責 CertiK 的行爲不道德，並涉嫌犯罪，因爲 CertiK 拒絕了 Kraken 提出的退還資金和提供數據的請求。相反，CertiK 安排了與 Kraken 的會議，討論根據不披露可能造成的損失來確定獎勵金額。

結語

這一事件不僅凸顯了加密貨幣交易所在安全方面的脆弱性，也引發了關於安全研究道德和法律界限的討論。

CertiK 和 Kraken 之間的爭議可能會對區塊鏈安全領域的信任和合作產生長遠影響。隨着法律和道德問題的進一步明朗化，這一事件的發展將繼續受到行業內外的密切關注。