加密货币交易所 Kraken 因利用安全漏洞损失 300 万美元一文首次出现在 Coinpedia Fintech News 上
全球领先的加密货币交易平台 Kraken 最近承认其遭受了一次攻击,该攻击成功利用了零日漏洞窃取了价值数百万的加密货币。
漏洞揭晓
2024 年 6 月 9 日,Kraken 收到了其 Bug Bounty 研究人员的一封电子邮件,警告其网络存在严重漏洞。正如 Kraken 首席安全官 Nick Percoco 所解释的那样,该漏洞使攻击者能够操纵网站上的资产负债表数字,达到实际资金无法支持的水平。
此严重漏洞允许攻击者在尚未完成存款过程的情况下在其账户中存款和取款。
反应迅速但不够迅速
Kraken 能够在 47 分钟内对警报做出响应并消除安全问题。问题被追溯到前段时间推出的一个新用户界面,该界面允许客户在清算所识别存款之前(如果有的话)进行存款和使用资金。
尽管 Kraken 表示在入侵过程中没有客户的现金丢失,但该漏洞使心怀不轨的人可以存入和提取假现金。
在这种情况下,三个账户在一周内开始尝试相同的操作,所有账户都试图将 300 万美元转出交易所。其中一个账户的所有者是最近报告此漏洞的安全研究人员。
至于第一个发现的漏洞,Percoco 评论说,一个试图利用它的人投资了 4 美元的加密货币来说明这个问题,这足以获得一份漏洞赏金报告和随后的奖励。然而,研究人员决定将漏洞详细信息提供给另外两名参与者,他们共同从 Kraken 的金库中窃取了近 300 万美元。
道德困境还是敲诈勒索?
当 Kraken 要求这些人归还被盗资金并提供概念验证 (PoC) 漏洞时,研究人员要求他们支付费用以换取资产返还。Percoco 谴责这种行为是敲诈勒索,并强调这违反了白帽黑客的道德原则。
Kraken 将此事件视为刑事案件,并正在与执法机构协调
另请阅读:令人震惊:加密货币“杀猪”骗局不断增多!您应该知道什么
