领先的加密货币交易所 Kraken 的首席安全官 Nick Percoco 透露,一个未公开的白帽黑客组织拒绝归还价值约 300 万美元的数字资产,他们利用系统中的漏洞从该平台的金库中窃取了这些资产。
Percoco 在一系列 X 帖子中表示,安全研究人员要求加密货币交易所提供如果他们在归还被盗资金之前没有披露该漏洞,可能损失的金额推测。
安全研究人员披露 Kraken 漏洞
据 Percoco 称,一名安全研究人员于 6 月 9 日向 Kraken 发送了 Bug Bounty 计划警报,声称他们发现了一个“极其严重”的漏洞,该漏洞允许用户人为地增加其在平台上的余额。尽管该交易所对每天收到多份虚假的漏洞赏金报告感到担忧,但它还是认真对待了这一说法,并组建了一个团队来调查这个问题。
该团队发现了一个漏洞,允许网络犯罪分子在 Kraken 上发起存款并在未完成存款的情况下将资金存入其账户。虽然该漏洞不会危及客户资金,但攻击者可以打印其账户中的资产并进行提款,这些提款可能会从 Kraken 的金库中提取。
问题在发现后不到两个小时就得到了控制。团队发现,该漏洞源于 Kraken 最新用户体验 (UX) 的一个缺陷。经过进一步调查,Kraken 发现已有 3 个账户利用了该缺陷。其中一个账户与一名自称是安全研究员的用户相关联。
事实证明,该研究人员首先发现了该漏洞,并利用该漏洞将 4 美元的加密货币存入其 Kraken 账户,但他没有向相关团队提交漏洞赏金报告,而是通知了他的两位同事,后者利用该漏洞获得了更大的收益。他们总共从自己的账户中取出了约 300 万美元的加密货币。
漏洞赏金沦为敲诈勒索
当 Kraken 联系安全研究人员并要求他们说明他们的活动并归还他们提取的资产时,他们拒绝了。他们称 Kraken 不讲道理、不专业,并要求该平台提供该漏洞可能造成的损失估计值。
Percoco 表示,Kraken 已向执法机构举报此案,因为这是一起敲诈勒索案件。
“我们将此事视为刑事案件,并正在与执法机构进行协调。我们很庆幸有人报告了此事,但这种想法也就到此为止了,”Percoco 表示。
白帽黑客拒绝归还从 Kraken 国库窃取的 300 万美元一文最先出现在 CryptoPotato 上。
