Kraken 首席安全官透露,该交易所融资系统中的一个漏洞被流氓安全研究人员利用后导致了 300 万美元的损失。
6 月初,美国加密货币交易所 Kraken 在一名流氓「安全研究人员」利用该交易所融资系统中的漏洞后损失了价值约 300 万美元的加密货币。 Kraken 的首席安全官 Nick Percoco 在 X 帖子中披露了这一事件,强调相关个人违反了道德标准。
我们每天都会收到自称「安全研究人员」的人寄来的假漏洞赏金报告。对于运行错误赏金计划的任何人来说,这并不新鲜。不过,我们认真对待了这个问题,并迅速组建了一个跨职能团队来深入研究这个问题。这是我们发现的。
— 尼克·佩尔科科 (@c7 Five) 2024 年 6 月 19 日
据Percoco 报道,该团队于6 月9 日首次收到“安全研究人员”关于潜在错误的通知。对客户帐户进行信用记录清算,使客户能够有效地即时交易加密市场。 Kraken CSO 承认,该交易所在攻击之前没有针对特定攻击向量测试用户体验变更。
Percoco 写道:“这一用户体验变更并未针对这种特定的攻击媒介进行彻底测试。”
您可能也会喜欢:Kraken 再次要求驳回 SEC 诉讼,理由是措辞不正确
修补漏洞后,Kraken 发现三个帐户在几天内相继利用了相同缺陷。 Percoco 表示,这名安全研究人员没有直接报告该漏洞,而是与两名同事分享了该信息,并补充说,这些身份不明的个人最终从 Kraken 的金库中提取了近 300 万美元。
Percoco 指出,「安全研究人员」的初步报告并未完全揭露该漏洞,因此团队必须重新确认一些细节,才能对成功识别安全漏洞的人员进行奖励。
Kraken 要求提供其活动的完整说明、概念验证以及撤回资金的返还。然而,这些人拒绝遵守,佩尔科科将其描述为“不是白帽骇客”,而是“敲诈勒索”。目前尚不清楚 Kraken 是否识别了所有攻击者或设法追回被盗资金。
了解更多:加密货币交易所 Kraken 计划在 IPO 前筹集 1 亿美元
