PANews 6月19日消息,據 Kraken 首席安全官 Nick Percoco 在推特上披露,6月9日收到一名安全研究員的漏洞報告,聲稱發現一個“極其嚴重”的漏洞,可人爲增加賬戶餘額。調查發現,最近的用戶體驗(UX)改動導致系統在存款未完成前提前記入資金,使攻擊者能虛增賬戶餘額。儘管客戶資產未受風險,但漏洞允許攻擊者在一段時間內“製造”資金。Kraken 在約1小時(47分鐘)修復了該漏洞,並發現三個賬戶利用了該漏洞,從 Kraken 金庫中提取了近 300 萬美元,其中一個賬戶屬於最初報告漏洞的研究員。此人只增加了 4 美元餘額,本可證明漏洞存在並獲賞金,但他將漏洞告知他人,後者提取了大量資金。Kraken 要求他們提供完整活動記錄並退還資金,但遭到拒絕並試圖勒索。Kraken 正與執法機構合作處理此事,Percoco 強調,合規的安全研究應遵守漏洞賞金計劃的規定,超出規則並勒索的行爲不可接受。
