6月20日消息,针对Kraken和CertiK之间的安全漏洞报告争议,链上侦探@0xBoboShanti称,一位Certik安全研究人员之前发布的一个地址早在5月27日就进行了探测和测试,这与Certik的事件时间表产生了矛盾。更进一步,该测试地址资金源于Certik的一个Tornado交易(Tornado tx),该钱包最近(直到今天)一直在与相同的合约进行交互,这一发现将这一事件与原始的安全研究人员联系了起来。

安全研究员@tayvano进一步指出,该交易的Certik报告揭示了Kraken的存款地址0xa172342297f6e6d6e7fe5df752cbde0aa655e61c(MATIC)。在以太坊网络上,这个相同的地址被用于进行提款操作,具体的提款地址包括:0x3c6a231b1ffe2ac29ad9c7e392c8302955a97bb3、0xdc6af6b6fd88075d55ff3c4f2984630c0ea776bc和0xc603d23fcb3c1a7d1f27861aa5091ffa56d3a599。这些提款地址提取大量资金后抛售UDDT并使用ChangeNOW进行多次最大值交换。

@tayvano写道:“抛售USDT并使用ChangeNOW并不能坐实该地址为黑客,但利用CEX系统中未披露的漏洞为自己谋取经济利益才是黑客。在漏洞被披露之前进行抛售和即时交易只是给这个疯狂的局势增添了更多的混乱。如果官方声明的是Certik泄露了安全通信,或者这是外部人士利用相同的漏洞,我会相信的。这甚至可能解释了Certik最初的声明,即Kraken要求退还的资金超过了他们提走的资金。”

此前Kraken首席安全官Nick Percoco称该公司在收到安全漏洞报告后并修复后,发现有三个账户利用了该漏洞,从Kraken金库中提取了近300万美元,其中一个账户属于最初报告漏洞的研究员。对此,CertiK在X平台披露,Kraken所指的安全漏洞研究员系CertiK白帽黑客,并辩诉称:“在成功识别和修复漏洞的初步成功后,Kraken的安全运营团队甚至在没有提供还款地址的情况下,威胁CertiK的个别员工在不合理的时间内偿还不匹配的加密货币金额。”