加密货币交易所 Kraken 最近报告称,由于一个严重漏洞,其账户中近 300 万美元被盗。该问题源于最近的用户体验更新中引入的一个漏洞,攻击者可以在存款完全清算之前将资金存入账户。
发现漏洞
该漏洞被标记为允许恶意用户在短时间内“打印资产”。Kraken 首席安全官 Nick Percoco 表示,该安全漏洞在发现后几个小时内就得到了控制。
该漏洞于 6 月 9 日首次透过漏洞赏金计划引起 Kraken 的注意。
此次调查发现了一起孤立事件,恶意方可能发起不完整存款以欺诈性地接收资金。 Percoco澄清称,该漏洞是在特定条件下发生的,不会使客户资产直接面临风险。
Kraken 透露它在 X 上被利用
随后对系统完整性的调查显示,在正式报告该错误之前不久,该漏洞已被三个不同的帐户利用。这些帐户设法在几天内巧合地发生的一系列交易中吸走大量资金。
Percoco 透露,报告该 bug 的个人最初通过向自己的帐户存入 4 美元来测试该缺陷,据称是为了证明该 bug 的存在并通过 bug 赏金计划获得奖励。
然而,后来发现此人与两名同事分享了该漏洞的详细信息,而不是保密。随后,这些合作者直接从 Kraken 公司的储备金中提取了总计近 300 万美元的资金。
Percoco 强调,这些资金并非来自其他客户帐户。针对这一事件,Kraken 要求全面说明他们的活动并归还被盗资金。
然而,被指控方扣留了资金,要求 Kraken 首先披露漏洞利用的潜在范围(如果尚未披露)。
Kraken的回应与法律行动
当研究人员将 Kraken 返还资金的要求标记为「不合理」和「不专业」时,这种情况进一步升级。
因此,Kraken 选择不公开涉案研究公司的身份,理由是违反了漏洞赏金条款,并将其行为不仅不道德,而且构成犯罪。
该交易所目前正在与执法部门协调,将该问题视为刑事案件处理,并拒绝承认涉案公司的行为。
Kraken 的这一不幸事件加剧了数位资产漏洞的更广泛范围,预计 2024 年加密货币骇客攻击将会增加。
按漏洞划分的加密货币损失细分
根据 Merkle Science 的《2024 Crypto HackHub 报告》,光是 2024 年第一季度,骇客就窃取了价值 5.427 亿美元的数位资产,较 2023 年同期成长了 42%。
业界注意到这些安全漏洞的性质发生了变化,私钥泄漏现在超过了智慧合约漏洞,成为主要原因。这一趋势与前几年形成鲜明对比,前几年智能合约的漏洞更为主导。
该报告也强调,由于智慧合约漏洞造成的损失显著减少,从2022 年的26 亿美元下降到2023 年的1.79 亿美元,下降了92%。超过55% 归因于私钥泄密事件凸显了加密货币领域持续存在的安全挑战。
在过去 13 年中,该产业遭遇了 785 起骇客攻击和漏洞利用事件,损失近 190 亿美元,这表明迫切需要全面改进安全措施。
骇客利用 Kraken Bug,窃取近 300 万美元的贴文首先出现在 Coinfomania 上。
