撰文：Yangz，Techub News

昨日晚间，Kraken 首席安全官 Nick Percoco 发文披露，Kraken 团队于 6 月 9 日收到漏洞赏金报告，称发现了一个「极其严重」的漏洞，允许攻击者在未完成存款的情况下人为增加账户余额。虽然 Kraken 团队在数小时时内修复了漏洞，但在深入调查的过程中发现该漏洞被三个账户利用。其中一个账户的 KYC 信息自称为「安全研究员」，并利用漏洞为其账户存入了 4 美元的加密货币，然后提交了漏洞赏金报告。但更为关键的是，该「研究员」又将漏洞透露给了与他们共事的另外两个人，导致 Kranken 财库近 300 万美元资金被提走。

Percoco 表示，由于最初的报告并没有完全披露漏洞细节，因此团队与上述账户进行了联系，计划按照一般漏洞赏金流程安排资金退还，并奖励其「白帽行为」。但出乎意料的是，「安全研究员」要求与 Kraken 业务开发团队通话，称除非按照该漏洞可能造成的损失金额进行奖赏，否则不会退还任何资金。

就这样，「白帽黑客」瞬间成了「敲诈勒索」，Percoco 也决定不披露「这家研究公司」的名头并将此事视为刑事案件，计划与执法机构进行协调处理。

本以为事情到这就暂告一段落了，但令人意外的是，安全公司 CertiK 在 Percoco 发文 3 个小时后自动站了出来，称是其发现了 Kraken 中的安全漏洞，且该漏洞可能会导致数亿美元的损失。

CertiK 表示，通过测试，其发现了 Kraken 的三个主要问题，且在为期数日的测试期间，均未触发任何 Kraken 警报。CertiK 表示，其在正式报告漏洞后，Kraken 几日才做出回应。而且，在漏洞修复后，Kraken 安全运营团队还威胁 CertiK 个别员工在不合理的时间内偿还不匹配数量的加密货币，甚至连偿还地址都未提供。

一时间，对峙双方各执一词，Kraken 将 CertiK 的行为视为「犯罪」，而 CertiK 则要求 Kraken「停止对白帽黑客的任何威胁」。