Kraken 表示,第三方安全研究人员发现了一个漏洞,加密货币交易所已修复该漏洞。
Kraken 称,研究人员秘密提取了近 300 万美元,并且在没有先看到赏金金额的情况下拒绝归还。
Kraken 指出,由于研究人员没有遵守该计划的规则,因此他们不会向他们支付奖金。
加密货币交易所 Kraken 表示,发现平台漏洞的“安全研究人员”从交易所金库中提取了约 300 万美元后转向“勒索”。
Kraken 首席安全官 Nick Percoco 在社交媒体平台 X(原 Twitter)上发帖称,该公司于 6 月 9 日收到一名安全研究人员发出的“漏洞赏金计划”警告,称存在一个漏洞,可让用户人为增加余额。Percoco 补充道,该漏洞“允许恶意攻击者在适当的情况下在我们的平台上发起存款,并在未完全完成存款的情况下将资金存入其账户”。
Kraken 安全更新:2024 年 6 月 9 日,我们收到了来自安全研究人员的 Bug Bounty 计划警报。最初没有披露任何具体细节,但他们的电子邮件声称发现了一个“极其严重”的漏洞,该漏洞使他们能够人为地增加我们平台上的余额。
— Nick Percoco (@c7five) 2024 年 6 月 19 日
Percoco 指出,收到报告后,Kraken 迅速解决了该问题,并且用户资金没有受到影响。
接下来发生的事情让 Kraken 团队警惕起来。
据称,该安全研究员在发现该漏洞后,将其披露给了另外两名个人,随后这两名个人“欺诈性地”从他们的 Kraken 账户中提取了近 300 万美元。“这些钱来自 Kraken 的资金,而不是其他客户资产,”Percoco 说。
最初的错误报告中没有提到另外两个人的交易,当 Kraken 要求提供有关他们活动的更多详细信息时,他们拒绝了。
“相反,他们要求与其业务开发团队(即销售代表)通话,并且不同意退还任何资金,除非我们提供如果他们不披露该漏洞可能造成的损失的估计金额。这不是白帽黑客,而是敲诈勒索!”Percoco 写道。
许多公司使用漏洞赏金计划来加强其安全系统,该计划邀请第三方黑客(即“白帽子”)寻找漏洞,以便公司能够在恶意行为者利用漏洞之前修复漏洞。Kraken 的竞争对手 Coinbase 有一个类似的计划,帮助交易所发现漏洞。
Kraken 在一篇博客文章中表示,为了获得赏金,Kraken 的程序要求第三方发现问题、利用证明漏洞所需的最少量、归还资产并提供漏洞的详细信息,并补充说,由于安全研究人员没有遵守这些规则,他们将无法获得赏金。
Kraken 的一位发言人告诉 CoinDesk:“我们真诚地与这些研究人员合作,并按照十年来运行的漏洞赏金计划,为他们的努力提供了可观的赏金。我们对这次经历感到失望,目前正在与执法机构合作,从这些安全研究人员那里收回资产。”
阅读更多:你的加密项目需要的是警长,而不是赏金猎人
