从白帽到灰色地带

加密货币安全公司 CertiK 最近引起了轩然大波。

当 CertiK 利用 Kraken 的漏洞 以“研究”的名义从平台抽取了 300 万美元时，遭遇了强烈反对。

在受到批评后，该公司归还了资金，但损害已经造成。

自从 Rekt 新闻报道 以来，安全研究员 Tayvano 揭露了 一系列与此事件相关的可疑活动。

围绕最近 Kraken 漏洞的争议尘埃未定，新的指控又在涌现。

从被指控抢先披露漏洞赏金到进行表面审计，CertiK 的声誉正被安全研究人员仔细审视。

随着每一个新指控，行业被迫面对一个令人不安的真相。

当被委托保护生态系统的实体被视为威胁时会发生什么？

在区块链安全的高风险世界中，信任是一切。但当守护者自己受到审查时会发生什么？

尽管 CertiK 在加密货币安全领域占有重要地位，但安全研究人员对其持怀疑态度。

最近的 Kraken 事件不仅是一个孤立的失误，它引爆了长期积累的担忧和批评。

随着尘埃落定，一系列令人震惊的指控浮出水面，勾勒出 CertiK 实践和伦理的令人担忧的图景。

抢先披露漏洞赏金：信任的破裂

在围绕 CertiK 的风暴中心是 OpenBounty，一个由 Shentu Chain（前身为 CertiK Chain）孵化的漏洞赏金平台。

CertiK 最初创建了 CertiK Chain，并在 2021 年将其更名为 Shentu Chain。

尽管 CertiK 和 Shentu 基金会现在名义上是独立的，但它们的共同历史和持续的联系引发了潜在利益冲突的质疑。

最初看似简单的漏洞赏金聚合器，已成为严重道德不端指控的焦点。

安全研究员 h0wlu 首先发出警报，揭露了 OpenBounty 运营中的令人担忧的做法。

"h0wlu 报告称，“我在他们的平台上创建了一个测试账户，以为这只是一个聚合器，但不。它们为所有这些项目提供提交表格，发现的漏洞被发送到它们的 API 服务器。”

这一发现立即引发了警报。OpenBounty 不仅仅是从各种来源收集漏洞赏金信息，它还积极为其他平台上的项目（包括 ImmuneFi）以及像 Uniswap 和 Ethereum 这样的自托管项目征集漏洞报告。

Uniswap 例如在其 漏洞赏金计划规则 中明确规定，必须直接向他们报告漏洞，而不是通过第三方。

这一做法的影响是严重的。通过在漏洞报告到达受影响的协议之前将其通过自己的服务器，CertiK 可能会提前掌握关键安全漏洞的信息。

这种信息不对称可能会被理论上用来获取经济利益或向项目施压以使用 CertiK 的服务。

更加可疑的是，h0wlu 注意到 OpenBounty 使用的 API 托管在一个包含 "CertiK" 的子域上，进一步巩固了两者之间的联系。

Gaslite 的联合创始人和 CertiK 的公开批评者 PopPunk 扩展了这些发现，“OpenBounty... 似乎试图抢先披露漏洞赏金报告。更可疑的是，当你报告一个漏洞时，他们的网站会向一个带有 CertiK 名字的域名发送请求。”

这种做法不仅在道德上有问题，还可能违反许多主要协议漏洞赏金计划的服务条款。

随着这些揭露，争议进一步加深，CertiK 似乎试图掩盖真相。

"PopPunkOnChain 声称，CertiK 现在正在删除关于 OpenBounty 的博客文章，并将他们的 API 改为非 CertiK 域名。"

这些指控如果属实，直接击中 CertiK 作为安全公司的可信度核心。

一个受信任的审计员可能利用其职位获取经济利益或获得不公平的竞争优势的可能性，引发了对个别区块链项目的完整性和安全性以及整个生态系统的严重担忧。

低质量审计：一种忽视的模式？

针对 CertiK 的指控不仅限于 OpenBounty 争议。

前客户和安全研究人员 提出了对低质量审计实践的指控，勾勒出一幅公司优先考虑数量而非质量的画面。

Matías Barrios，Halborn 的一名进攻性安全工程师，声称该公司在审计协议时经常“做最少的工作”。

“他们只进行了第一层审计，而不是三层审计，即静态分析、人工审查和测试，”Barrios 告诉 The Defiant。

他声称这是 CertiK 的惯用手法：“他们通过一些自动化工具浏览代码，提供一份非常简单的报告，然后就这样了。”

2023 年 4 月的 Merlin 黑客事件，一个基于 Zksync 的去中心化交易所，在 CertiK 审计后被抽走了 180 万美元，成为不充分安全审查潜在后果的鲜明例子。

导致 180 万美元 Merlin 黑客事件的漏洞直接涉及 CertiK 审计后标记为已解决的问题，严重关切其安全审查的彻底性。

批评者认为，CertiK 在市场上的主导地位更多是基于品牌认知而非质量。

“他们之所以被广泛使用，是因为许多公司只是需要‘CertiK 的批准印章’，Barrios 解释道。

这种对 CertiK 声誉的依赖，而非其审计的实质，提出了关于加密行业安全实践状态的严重质疑。

CertiK 的争议提醒我们，在区块链世界中，即使是监管者也需要监管。

当我们前进时，一个问题浮现，谁来审计审计员？

“你们是来保护我们的。但是谁来保护我们不受你们的伤害？” - KRS-One

针对 CertiK 的指控描绘了一幅可能远离其保护区块链生态系统使命的公司的令人担忧的画面。

如果这些指控属实，这些行为不仅仅是道德上的违反，而是对安全审计员所托付的信任的根本背叛。

CertiK 似乎对许多这些指控的回应也不够迅速。

他们是否真的关心，还是只是关心最终的报酬？

一个受信任的审计员可能利用其职位获取经济利益或竞争优势的潜力对整个区块链生态系统构成了重大威胁。

一个公司如何获得如此强大的协议审计权？

他们是该领域的知名品牌，但当信任被打破时，许多知名品牌都失去了光环。

也许更多人会将“由 CertiK 审计”视为警告标签。

也许是时候用严重性等级对审计员本身进行分类了。

CertiK 在这个等级上会排在什么位置？

REKT作为匿名作者的公共平台，我们对REKT上托管的观点或内容不承担任何责任。

捐赠 (ETH / ERC20): 0x3C5c2F4bCeC51a36494682f91Dbc6cA7c63B514C

声明:

REKT对我们网站上发布的或与我们的服务相关的任何内容不承担任何责任，无论是由我们网站的匿名作者，还是由 REKT发布或引起的。虽然我们为匿名作者的行为和发文设置规则，我们不控制也不对匿名作者在我们的网站或服务上发布、传输或分享的内容负责，也不对您在我们的网站或服务上可能遇到的任何冒犯性、不适当、淫秽、非法或其他令人反感的内容负责。REKT不对我们网站或服务的任何用户的线上或线下行为负责。