昨晚，加密货币交易所 Kraken 和区块链安全公司 CertiK 在社交媒体上就一系列严重的安全漏洞问题发生了公开对峙。

最初，CertiK 在 Kraken 发现了一系列严重漏洞，该漏洞源自最近 Kraken 的用户体验（UX）变化，该变化会在客户资产结算前立即为客户账户记账，并允许客户实时交易加密货币市场，而 Kraken 暂未针对这种特定攻击向量进行充分测试。

简单来说，该漏洞允许恶意攻击者在未完全完成存款的情况下，发起存款操作并在其账户中收到资金。

在 Kraken 对该漏洞进行检查后，立即将其评估为「关键」（Critical），并在 47 分钟后由 Kraken 的专家团队缓解了这个问题。随后，Kraken 首席安全官 Nick Percoco 表示该问题被完全修复，并且将不会再次发生。

时间发生时间线，图源：CertiK 官方 X

然而有趣的事情发生了，Nick Percoco指出CertiK 在此次「安全检查」中套走了 Kraken 近 300 万美元，而 CertiK 则对此表示坚决否认。但在事情发酵半天后，CertiK又表示已经返还了所涉资金，资金总额也确实为300万美元左右，只是具体代币与Kraken所宣称的情况不符。

白帽行为还是敲诈？

在 Kraken 的事后调查中发现，三个账户在几天内利用了这一漏洞，其中一个账户通过身份认证（KYC）关联到 CertiK 工作人员，他利用漏洞将其账户余额增加了 4 美元。

理论上，生成 4 美元时就足以证明漏洞的存在，且该漏洞被 Kraken 评估为「关键」（Critical），这就意味着只要退回生成的 4 美元，就能够向 Kraken 申请 100 至 150 万美元的赏金。

Kraken 漏洞赏金计划的奖金。来源：Kraken

然而，此「安全研究员」却选择将该漏洞透露给了与他合作的另外两个人，后者利用这个漏洞生成了更大金额的资金，最终从他们的 Kraken 账户提取了近 300 万美元。

当 Kraken 向 CertiK 要求提供活动的详细说明，创建链上活动的概念验证，并安排归还他们提取的资金时，CertiK 却表示拒绝，并要求与其 BD 团队通话。同时，CertiK 还表示在 Kraken 提供一个假设的可能损失金额之前，不同意归还任何资金。

至此，Kraken 首席安全官 Nick Percoco 在推文中将 CertiK 的行为标榜为敲诈，并将此 300 万美元的损失视为「刑事案件」，目前正与执法部门协调追回资金。

随后，CertiK 在 X 上为自己的行为辩护。

CertiK 对 Kraken 的测试主要围绕三个问题，即恶意行为者能否伪造存款交易到 Kraken 账户？恶意行为者能否提取伪造的资金？大额提款请求可能触发哪些风险控制和资产保护？而 CertiK 认为 Kraken 交易所未通过所有这些测试，这表明 Kraken 的深度防御系统在多个方面被破坏。