美国交易所 Kraken 因一家未具名的安全公司利用其平台漏洞而损失了近 300 万美元。首席安全官 Nick Percoco 在 X 上的一篇帖子中披露了这一消息,并表示该安全公司拒绝退还资金,现在要求更高的赏金。
另请阅读:加密货币交易所 DMM Bitcoin 承诺在遭受 3 亿美元黑客攻击后向用户偿还款项
作为回应,Kraken 已将此事上报执法机构,并将视其为犯罪行为。不过,用户不必担心,因为该交易所声称已经解决了该漏洞,并且没有用户帐户受到影响。
Kraken bug 允许印钞票
据Percoco 称,一名安全研究人员于6 月9 日透过Bug Bounty 计划向Kraken 发出了关于一个严重错误的警报。其Kraken 帐户发起存款并接收资金未完成存款。恶意攻击者可以透过此漏洞凭空列印数百万美元。
他解释说:
「我们发现了一个孤立的错误。这使得恶意攻击者在适当的情况下可以在我们的平台上发起存款,并在其帐户中接收资金,而无需完全完成存款。
内部安全团队在 47 分钟内缓解了该问题,并在几个小时后完全修复了该问题。然而,该公司发现该错误是由于其用户体验最近发生的变化导致的,该变化允许客户帐户在资产清算之前记入贷方。尽管整合了此变更以实现即时交易,但尚未针对此类风险进行全面测试。
不过,Percoco补充称,该事件并未影响用户的资产,该漏洞的利用仅影响了Kraken金库。
安全研究人员是罪犯
同时,对该漏洞的分析发现,三个帐户利用了该缺陷,其中一个帐户是以最初联系交易所的安全研究人员的名义注册的。
另请阅读:Kraken 考虑下架 USDT 以应对欧盟新法规
虽然研究人员的帐户仅利用该漏洞为自己充值了 4 美元,足以证明该漏洞是真实的,但其他两个帐户却使用相同的漏洞从其 Kraken 帐户中提取了近 300 万美元。有趣的是,这些帐户与安全研究人员的同事相关。
Kraken 解释说,它试图退回资金的尝试是徒劳无功的,因为研究人员现在要求支付更高的费用,他们认为这与漏洞的风险相称。
Percoco 将此描述为勒索行为,这与 Bug Bounty 计划背后的原则相矛盾。他补充说,违反白帽骇客获得骇客攻击许可的规则会使安全研究人员成为犯罪分子,交易所也将他们视为犯罪分子。
