文章转载来源： 区块律动BlockBeats

　　昨晚，加密货币交易所 Kraken 和区块链安全公司 CertiK 在社交媒体上就一系列严重的安全漏洞问题发生了公开对峙。

　　最初，CertiK 在 Kraken 发现了一系列严重漏洞，该漏洞源自最近 Kraken 的用户体验（UX）变化，该变化会在客户资产结算前立即为客户账户记账，并允许客户实时交易加密货币市场，而 Kraken 暂未针对这种特定攻击向量进行充分测试。

　　简单来说，该漏洞允许恶意攻击者在未完全完成存款的情况下，发起存款操作并在其账户中收到资金。

　　在 Kraken 对该漏洞进行检查后，立即将其评估为‘关键’（Critical），并在 47 分钟后由 Kraken 的专家团队缓解了这个问题。随后，Kraken 首席安全官 Nick Percoco 表示该问题被完全修复，并且将不会再次发生。

时间发生时间线，图源：CertiK 官方 X

　　然而有趣的事情发生了，Nick Percoco指出CertiK 在此次‘安全检查’中套走了 Kraken 近 300 万美元，而 CertiK 则对此表示坚决否认。

　　白帽行为还是敲诈？

　　在 Kraken 的事后调查中发现，三个账户在几天内利用了这一漏洞，其中一个账户通过身份认证（KYC）关联到 CertiK 工作人员，他利用漏洞将其账户余额增加了 4 美元。

　　理论上，生成 4 美元时就足以证明漏洞的存在，且该漏洞被 Kraken 评估为‘关键’（Critical），这就意味着只要退回生成的 4 美元，就能够向 Kraken 申请 100 至 150 万美元的赏金。

Kraken 漏洞赏金计划的奖金。来源：Kraken

　　然而，此‘安全研究员’却选择将该漏洞透露给了与他合作的另外两个人，后者利用这个漏洞生成了更大金额的资金，最终从他们的 Kraken 账户提取了近 300 万美元。

　　当 Kraken 向 CertiK 要求提供活动的详细说明，创建链上活动的概念验证，并安排归还他们提取的资金时，CertiK 却表示拒绝，并要求与其 BD 团队通话。同时，CertiK 还表示在 Kraken 提供一个假设的可能损失金额之前，不同意归还任何资金。