美國交易所 Kraken 因一家未具名的安全公司利用其平臺漏洞而損失了近 300 萬美元。首席安全官 Nick Percoco 在 X 上的一篇帖子中披露了這一消息,並表示該安全公司拒絕退還資金,現在要求更高的賞金。
另請閱讀:加密貨幣交易所 DMM Bitcoin 承諾在遭受 3 億美元黑客攻擊後向用戶償還款項
作爲迴應,Kraken 已將此事上報執法機構,並將視其爲犯罪行爲。不過,用戶不必擔心,因爲該交易所聲稱已經解決了該漏洞,並且沒有用戶帳戶受到影響。
Kraken bug 允許印鈔票
據Percoco 稱,一名安全研究人員於6 月9 日透過Bug Bounty 計劃向Kraken 發出了關於一個嚴重錯誤的警報。其Kraken 帳戶發起存款並接收資金未完成存款。惡意攻擊者可以透過此漏洞憑空列印數百萬美元。
他解釋說:
「我們發現了一個孤立的錯誤。這使得惡意攻擊者在適當的情況下可以在我們的平台上發起存款,並在其帳戶中接收資金,而無需完全完成存款。
內部安全團隊在 47 分鐘內緩解了該問題,並在幾個小時後完全修復了該問題。然而,該公司發現該錯誤是由於其用戶體驗最近發生的變化導致的,該變化允許客戶帳戶在資產清算之前記入貸方。儘管整合了此變更以實現即時交易,但尚未針對此類風險進行全面測試。
不過,Percoco補充稱,該事件並未影響用戶的資產,該漏洞的利用僅影響了Kraken金庫。
安全研究人員是罪犯
同時,對該漏洞的分析發現,三個帳戶利用了該缺陷,其中一個帳戶是以最初聯繫交易所的安全研究人員的名義註冊的。
另請閱讀:Kraken 考慮下架 USDT 以應對歐盟新法規
雖然研究人員的帳戶僅利用該漏洞為自己充值了 4 美元,足以證明該漏洞是真實的,但其他兩個帳戶卻使用相同的漏洞從其 Kraken 帳戶中提取了近 300 萬美元。有趣的是,這些帳戶與安全研究人員的同事相關。
Kraken 解釋說,它試圖退回資金的嘗試是徒勞無功的,因為研究人員現在要求支付更高的費用,他們認為這與漏洞的風險相稱。
Percoco 將此描述為勒索行為,這與 Bug Bounty 計劃背後的原則相矛盾。他補充說,違反白帽駭客獲得駭客攻擊許可的規則會使安全研究人員成為犯罪分子,交易所也將他們視為犯罪分子。
