CertiK解释了其道德黑客立场，Kraken承认全额退款

智能trac安全公司 CertiK 继续声称其针对 Kraken 交易所的行动符合道德规范，并且旨在评估安全漏洞的全部范围。测试人员还声称，他们已将所有资金以实物形式返还，并未敲诈 Kraken。. 

CertiK团队发布了一份新声明，反驳了Kraken之前的一些说法。测试人员拒绝了赏金要求，并表示他们的首要任务是修复能够将资金“打印”到账户中的漏洞。. 

阅读： 随着对 Certik 的批评声浪日益高涨，Kraken 追回了 300 万美元

所有提取的资金均来自 Kraken 的冷钱包，没有用户账户受到影响。这些代币是根据 CertiK 自身的计算和交易记录返还的。. 

汇款 Cash。这家硬币混合器此前曾受到 制裁 美国财政部的 

CertiK 非常清楚 Tornado Cash 的使用情况，并将相关转账记录作为其被利用的证据。此前，CertiK 也曾在一些较早的漏洞利用案例中 trac到 Tornado Cash 使用。CertiK 的主要工作之一是审计智能合约，因为这些trac通常包含类似的逻辑缺陷，导致代币的无限生成。.

CertiK 的道德黑客行为令观察人士感到不安，因为他们直接向 Tornado Cash 发送小额资金来测试漏洞。在 Kraken 最终告知其漏洞的实际规模之前，Kraken 测试过程中的一些步骤就已经在社交媒体上泄露。. 

虽然尚未讨论漏洞赏金问题，但 CertiK 一直声称无需赏金即可返还资金。目前为止，Kraken 的安全团队尚未宣布对 CertiK 的任何赏金计划。. 

Kraken承认已收到所有款项

CertiK 在中心化的 Kraken 平台上生成余额，并代表这些账户执行提款。. 

Kraken声称CertiK的收益报告不准确，这一说法最具争议性。然而，几天后，这一说法就被驳斥了。Kraken首席安全官Nick Percoco宣布，资金已全额退还，扣除交易手续费。. 

CertiK 的账目显示，提现的币种只有 ETH、USDT 和 XMR，而 Kraken 则声称还有 155,818.44 个 MATIC 被提现并混入其中。提现总额估计约为 300 万美元，但 CertiK 只使用了一小部分资金来证明漏洞的存在。. 

对此次漏洞的进一步分析表明，CertiK 生成了并不存在的 MATIC 余额，但交易失败，Kraken 冷钱包中的资金并未流出。生成的 MATIC 余额仅仅是内部漏洞利用的结果，并未导致真正的 Polygon 代币转移。. 

在某些情况下，资金的存在是可以模拟的，因为其他协议曾遭受过闪电贷攻击。. 

CertiK 声称， 漏洞利用事件 再次抬头，超过 3000 万美元被从应用程序和协议中窃取。该数字不包括针对个人钱包的攻击。 

制裁实施数年后，Tornado Cash 仍在运营。

Tornado Cash 混币器仍在助长攻击，因为资金经过混币器后无法trac。即使将钱包和地址列入黑名单，也无法阻止黑客混币并将其发送到新的未知钱包。. 

另请阅读： 发起“龙卷风 Cash 诉讼的团体败诉于美国财政部

自 2022 年以来，Tornado Cash 资源一直有限，但该服务仍在运营。. 

Tornado Cash的创始人 Alexey Pertsev 于 2024 年 5 月被判刑，可能面临数年监禁。然而，这些制裁和禁令并未阻止任何人使用该混合器，而且该禁令也不适用于美国以外的司法管辖区。.

一些加密货币，例如 USDC，已将所有 Tornado Cash trac列入黑名单。发送到这些trac的任何资金都无法追回。USDC 还以其集中式的冻结代币功能而闻名。对于 Kraken 而言，能够提现到 Tornado Cash trac地址也是一个重大漏洞。大多数代币发行方选择不对代币进行控制，这使得代币容易被盗，并且无法通过混币来追回。. 

克里斯蒂娜·瓦西列娃 (Hristina Vasieva) 的Cryptopolitan 报道