全球领先的加密货币交易所 Kraken 最近遇到了重大的安全挑战。一名安全研究人员向该平台发出警告,称存在一个严重漏洞,可能导致未经授权创建数字资产。这一事件凸显了数字资产平台在维护强大安全措施方面面临的持续挑战。
收到举报后,Kraken 的安全团队迅速展开调查,并将其与常见的误报区分开来。发现的漏洞特别严重——它使用户能够注册存款并在没有实际转移资金的情况下将相应的信用额度存入他们的账户。
此缺陷源于最近的用户体验更新,该更新在确认存款之前过早地将款项存入用户账户,存在凭空“打印”数字资产的假设风险。
后果及采取的行动
调查显示,只有三个账户利用了该漏洞,其中包括举报人的账户。虽然研究人员通过创建少量加密货币演示了这一漏洞,但他们未能通过 Kraken 的 Bug Bounty 计划正式报告此事。
相反,他们向另外两方披露了该方法,随后这两方利用该漏洞提取了数百万的加密货币,最终非法提现总额达到约 300 万美元。
Kraken 首席安全官 Nick Percoco 指出,由于初始报告不完整,缺少关键交易细节,处理这一情况面临挑战。
Kraken 安全更新:2024 年 6 月 9 日,我们收到了来自安全研究人员的 Bug Bounty 计划警报。最初没有披露任何具体细节,但他们的电子邮件声称发现了一个“极其严重”的漏洞,该漏洞使他们能够人为地增加我们平台上的余额。
— Nick Percoco (@c7five) 2024 年 6 月 19 日
与研究人员的对话陷入僵局,因为他们要求支付赎金而不是退还资金,并提议根据该漏洞可能造成的潜在经济损失进行赔付。
Kraken 将这些要求称为敲诈勒索,拒绝公开涉案安全公司的名称,并正在采取法律行动,将此问题视为刑事案件。该公司向用户保证,客户资产在任何时候都没有受到损害。
