快速拍摄:
Kraken 首席安全官 Nick Percoco 周三表示,其钱包中被盗取了 300 万美元。
该漏洞允许任何人向该平台发起存款并在未完成的情况下收到资金。
Percoco 表示,一家未公开名称的公司有三名相关人员拒绝归还资金,直到 Kraken 公开该漏洞的潜在规模。
根据区块链安全公司 X 披露的信息材料,CertiK 和加密货币交易所 Kraken 过去几天一直在进行漏洞赏金纠纷。
CertiK 于 6 月 5 日表示,它发现 Kraken 的存款系统存在一个漏洞,允许提取可转换成有效加密货币的伪造加密货币。
这家加密安全公司于 6 月 5 日存入了 200 个 Matic,两天后又提取了 90,000 个 Matic。该公司在 X 上的一篇帖子中声称,随后又存入了一笔金额更大的资金,然后在 6 月 9 日提取了一笔更大的金额。
来源:Certik on X
CertiK 在评论其在 X 上的测试结果时写道:“Kraken 交易所未能通过所有这些测试,这表明 Kraken 的纵深防御系统在多个方面都受到了损害。数百万美元可以存入任何 Kraken 账户。”
“大量伪造的加密货币(价值超过 100 万美元)可以从账户中提取并转换为有效加密货币。更糟糕的是,在多日的测试期间没有触发任何警报。在我们正式报告事件几天后,Kraken 才做出回应并锁定了测试账户。”
Kraken 首席安全官 Nick Percoco 在回应中表示,他的公司能够在一小时 47 分钟内“对该漏洞进行分类”,然后在几个小时内彻底修复该问题。
在描述漏洞情况时,他说:“我们的团队发现了一个漏洞,它源于最近的用户体验变化,该变化会在客户资产清算之前迅速记入客户账户,从而使客户能够实时有效地交易加密货币市场。此用户体验变化尚未针对此特定攻击媒介进行彻底测试。”
Percoco 表示,进一步调查显示,三个账户已经充分利用了该漏洞,向其账户存入了价值 4 美元的加密货币,这足以向 Kraken 团队提交漏洞赏金报告,从而从加密货币交易所的漏洞赏金计划中获得可观的奖励。
“相反,这位‘安全研究员’向另外两名合作者透露了这个漏洞,这两名合作者通过欺诈手段获得了更大的金额。他们最终从 Kraken 账户中提取了近 300 万美元。这些钱来自 Kraken 的资金,而不是其他客户资产。”
佩科科说,在讨论提交报告以退还资金后,研究人员拒绝了,并将此次活动称为“敲诈勒索”。
CertiK 表示,在最初成功识别和修复漏洞后,Kraken 的安全运营团队威胁 CertiK 的个别员工偿还不匹配的加密金额,而没有给他们合理的时间或还款地址。
掌握最新动态:
使用此链接订阅我们的时事通讯 - 我们不会发送垃圾邮件!
在 X 和 Telegram 上关注我们。
加密安全公司 CertiK 与 Kraken 在漏洞赏金纠纷中因 300 万美元流失而发生争执,该文章最先出现在 NFTgators 上。
