CertiK：向 Kraken 报告安全漏洞后员工却遭到其安全运营团队威胁

CertiK：向Kraken报告安全漏洞后员工却遭到其安全运营团队威胁区块链安全机构CertiK在X平台发文称，此前已经发现Kraken交易所的一系列严重漏洞，这些漏洞可能导致数亿美元的潜在损失。CertiK的调查显示，Kraken的存款系统无法有效区分不同的内部转账状态，存在恶意行为者伪造存款交易并提取伪造资金的风险。在测试期间，数百万美元的虚假资金可以被存入Kraken账户，并提取超过100万美元的伪造加密货币转化为有效资产，且Kraken系统未触发任何警报。CertiK通知Kraken后，Kraken将漏洞分类为“严重”（Critical），并初步修复了问题。但CertiK指出，Kraken安全团队随后威胁CertiK员工，要求在不合理的时间内偿还不匹配的加密货币，并未提供还款地址。为了保护用户安全，CertiK决定公开此事，呼吁Kraken停止对白帽黑客的任何威胁，强调通过合作应对风险。

Kraken在收到安全漏洞报告后仍遭勒索，损失近300万美元

Kraken在收到安全漏洞报告后仍遭勒索，损失近300万美元据Kraken首席安全官NickPercoco在推特上披露，6月9日收到一名安全研究员的漏洞报告，声称发现一个“极其严重”的漏洞，可人为增加账户余额。调查发现，最近的用户体验（UX）改动导致系统在存款未完成前提前记入资金，使攻击者能虚增账户余额。尽管客户资产未受风险，但漏洞允许攻击者在一段时间内“制造”资金。Kraken在约1小时（47分钟）修复了该漏洞，并发现三个账户利用了该漏洞，从Kraken金库中提取了近300万美元，其中一个账户属于最初报告漏洞的研究员。此人只增加了4美元余额，本可证明漏洞存在并获赏金，但他将漏洞告知他人，后者提取了大量资金。Kraken要求他们提供完整活动记录并退还资金，但遭到拒绝并试图勒索。Kraken正与执法机构合作处理此事，Percoco强调，合规的安全研究应遵守漏洞赏金计划的规定，超出规则并勒索的行为不可接受。https://www.panewslab.com/zh/sqarticledetails/leu473fh.html

【CertiK：此前向Worldcoin报告的安全漏洞已得到修复】

【CertiK：此前向Worldcoin报告的安全漏洞已得到修复】2023年08月04日12点00分8月3日消息，区块链安全公司CertiK在社交平台表示，该公司在5月29日向Worldcoin的安全团队报告了一个可能允许攻击者通过绕过验证过程成为Orb运营商的安全漏洞。通过这个安全漏洞，恶意攻击者可以绕过Worldcoin运营商接受过程的验证和严格的参与条件。这意味着它不需要是一家公司，也不需要进行适当的身份验证或接受审查面试。在正常情况下，只有通过Worldcoin严格的身份验证过程的合法企业才能运行收集用户虹膜信息的Orb操作。Worldcoin的安全团队确认了这个安全漏洞，并迅速发布了修复。CertiK已经验证并确认该修复已经缓解了威胁。

【CertiK：苹果iOS内核存在的两个安全漏洞会对iOS设备造成影响】

【CertiK：苹果iOS内核存在的两个安全漏洞会对iOS设备造成影响】2023年08月09日10点40分老不正经报道，根据苹果公司最新操作系统更新的发布说明，区块链安全机构CertiK因与苹果iOS内核的两个安全漏洞有关的安全贡献获苹果官方认可。经证实，这些漏洞会对最新的iOS设备造成影响。据苹果公司官方安全更新页面信息显示，这些漏洞会允许“一个应用程序以内核权限执行任意代码”。在最新发布的版本中，苹果已通过改进内存处理来解决这些漏洞。

CertiK：已向Kraken归还所有资金但与Kraken要求的不一致，大规模测试系测试其风控的限制

CertiK：已向Kraken归还所有资金但与Kraken要求的不一致，大规模测试系测试其风控的限制PANews6月20日消息，CertiK在X平台发布了关于最近CertiK-Kraken白帽行动的Q&A，表示没有真实用户损失资金，加密货币是通过交易所漏洞凭空铸造的，在其研究活动中，没有直接涉及真正的Kraken用户资产；在其所有的与Kraken（通过电子邮件和视频会议）的沟通中，其始终向他们保证会归还资金；所有资金都已归还，但总金额与Kraken指定的不符，CertiK基于其记录进行了归还；CertiK归还了：734.19215ETH，29,001USDT，1021.1XMR，而Kraken要求的是155818.4468MATIC，907400.1803USDT，475.5557871ETH，1089.794737XMR。关于大规模测试的原因，CertiK表示，这是因为测试了Kraken的风险控制的限制，经过几天连续测试，在测试了已接近300万美元的加密货币后，仍然没…（点击链接阅读全文）https://www.panewslab.com/zh/sqarticledetails/0x8eo7wc.html

Kraken首席安全官：减去少量费用损失后，确认资金已退回

Kraken首席安全官：减去少量费用损失后，确认资金已退回PANews6月20日消息，Kraken首席安全官NickPercoco在推特上表示，现在可以确认资金已退回（减去少量费用损失）。今日早些时候，CertiK表示：已向Kraken归还所有资金但与Kraken要求的不一致，大规模测试系测试其风控的限制。https://www.panewslab.com/zh/sqarticledetails/7c4g111x.html