Kraken 首席安全官透露,該交易所融資系統中的一個漏洞被流氓安全研究人員利用後導致了 300 萬美元的損失。

6 月初,美國加密貨幣交易所 Kraken 在一名流氓「安全研究人員」利用該交易所融資系統中的漏洞後損失了價值約 300 萬美元的加密貨幣。 Kraken 的首席安全官 Nick Percoco 在 X 帖子中披露了這一事件,強調相關個人違反了道德標準。

我們每天都會收到自稱「安全研究人員」的人寄來的假漏洞賞金報告。對於運行錯誤賞金計劃的任何人來說,這並不新鮮。不過,我們認真對待了這個問題,並迅速組建了一個跨職能團隊來深入研究這個問題。這是我們發現的。

— 尼克·佩爾科科 (@c7 Five) 2024 年 6 月 19 日

據Percoco 報道,該團隊於6 月9 日首次收到“安全研究人員”關於潛在錯誤的通知。對客戶帳戶進行信用記錄清算,使客戶能夠有效地即時交易加密市場。 Kraken CSO 承認,該交易所在攻擊之前沒有針對特定攻擊向量測試用戶體驗變更。

Percoco 寫道:“這一用戶體驗變更並未針對這種特定的攻擊媒介進行徹底測試。”

您可能也會喜歡:Kraken 再次要求駁回 SEC 訴訟,理由是措辭不正確

修補漏洞後,Kraken 發現三個帳戶在幾天內相繼利用了相同缺陷。 Percoco 表示,這名安全研究人員沒有直接報告該漏洞,而是與兩名同事分享了該信息,並補充說,這些身份不明的個人最終從 Kraken 的金庫中提取了近 300 萬美元。

Percoco 指出,「安全研究人員」的初步報告並未完全揭露該漏洞,因此團隊必須重新確認一些細節,才能對成功識別安全漏洞的人員進行獎勵。

Kraken 要求提供其活動的完整說明、概念驗證以及撤回資金的返還。然而,這些人拒絕遵守,佩爾科科將其描述為“不是白帽駭客”,而是“敲詐勒索”。目前尚不清楚 Kraken 是否識別了所有攻擊者或設法追回被盜資金。

了解更多:加密貨幣交易所 Kraken 計劃在 IPO 前籌集 1 億美元