CertiK近期在Kraken交易所发现了一系列严重漏洞，这些漏洞可能导致数亿美元的潜在损失。事件源于Kraken存款系统无法区分不同的内部转账状态，CertiK随后进行全面调查，提出了三个关键问题：

1. 恶意行为者能否伪造一笔存款交易到Kraken账户？
2. 恶意行为者能否提取伪造的资金？
3. 在大额提款请求时，会触发哪些风险控制和资产保护措施？

测试结果显示，Kraken交易所未能通过所有这些测试，表明其纵深防御系统在多个方面受到威胁。测试期间，数百万美元的伪造加密货币可以存入任何Kraken账户，并从中提取，转换为有效加密货币。更糟糕的是，在测试过程中没有触发任何警报。几天后Kraken才回应并锁定了测试账户。

细节披露

CertiK通知Kraken后，其安全团队将问题分类为“Critical”，即最严重级别。然而，在初步修复漏洞后，Kraken的安全运营团队却威胁个别CertiK员工，要求其在不合理的时间内偿还金额不匹配的加密货币，并未提供还款地址。

为使社区了解事件全貌，CertiK提供了事件发生时间线及测试存款交易明细：

事件发生时间线

测试存款交易明细

CertiK指出：

• 白帽行动的事实：数百万美元的加密货币是凭空铸造，研究活动中未涉及任何真正的Kraken用户资产。
• 严重的安全问题：测试期间，生成并提现的伪造代币直到CertiK报告前未被发现，显示出缺乏有效的风险控制和预防机制。
• 真正的问题：为何Kraken的纵深防御系统未能检测到如此多的测试交易，连续大额提现是CertiK测试系统极限的一部分。

结语

为了社区的透明和对Web3安全的承诺，CertiK公开此事件，旨在保护所有用户的安全。CertiK敦促Kraken停止对白帽黑客的威胁，并呼吁合作，共同应对风险，保障Web3的未来。