加密貨幣交易所 Kraken 的首席安全官 Nick Percoco 在社交媒體平臺 X 上分享了一篇帖子,告知 6 月 9 日,收到了安全研究人員發出的 Bug Bounty 計劃警報。該警報通過電子郵件發出,未提供具體細節,但提到發現了一個“極其嚴重”的漏洞,該漏洞可能會人爲增加平臺的餘額。
Kraken 發現並解決了一個漏洞,該漏洞可能使惡意行爲者無需完成完整的存款流程即可在其帳戶中收到資金。該問題源於最近的用戶體驗 (UX) 更新,該更新允許在客戶資產完全清算之前將資金存入客戶帳戶,從而促進加密貨幣市場的實時交易。這一特定的 UX 更改尚未針對此類潛在攻擊媒介進行充分測試。
此外,我們還發現,短時間內有三個賬戶利用了此漏洞。經過徹底調查,我們發現其中一個賬戶屬於最初發現並報告此係統漏洞的安全研究人員。
這位“安全研究員”後來與兩名同事分享了有關這個漏洞的詳細信息。這三個賬戶合計從 Kraken 的賬戶中提取了近 300 萬美元,具體是從 Kraken 的金庫中提取的,而不是從客戶資產中提取的。在 Kraken 聯繫安全研究員討論通過漏洞賞金計劃獎勵他們發現安全漏洞後,研究員拒絕退還任何資金,直到交易所估計出如果不報告漏洞可能造成的財務影響。
Nick Percoco 強調,該事件被視爲敲詐勒索,而非合法的白帽黑客活動,不過他沒有透露涉案研究公司的名稱。他進一步指出,Kraken 將此類事件視爲刑事案件,並打算在適當的情況下與執法機構合作。
需要明確的是,客戶的資產從未受到威脅。但是,惡意攻擊者可以在一段時間內有效地竊取其 Kraken 賬戶中的資產。
— Nick Percoco (@c7five) 2024 年 6 月 19 日
Kraken 漏洞賞金計劃保障加密貨幣用戶安全,2023 年共收到 22 份報告
Kraken 支持加密貨幣與法定貨幣的交易。此外,它還提供加密貨幣衍生品和期貨交易服務。根據 CoinMarketCap 的信息,Kraken 在全球加密貨幣交易所中排名第六,平均每日交易量約爲 7.41 億美元。
Bug Bounty 計劃支持 Kraken 保護加密貨幣市場用戶的使命。Kraken 承諾不對遵守所有 Kraken Bug Bounty 政策的安全研究人員採取法律行動。提交給該計劃的報告將由 Kraken 進行評估,支付金額取決於漏洞的嚴重程度,並以 BTC 支付。2023 年,該計劃共收到 461 份報告,其中 22 份已確認。
加密貨幣交易所 Kraken 在漏洞賞金報告後遭勒索,300 萬美元資金被提取,該帖子最先出現在 Metaverse Post 上。
