加密貨幣交易所 Kraken 最近報告稱，由於一個嚴重漏洞，其賬戶中近 300 萬美元被盜。該問題源於最近的用戶體驗更新中引入的一個漏洞，攻擊者可以在存款完全清算之前將資金存入賬戶。

發現漏洞

該漏洞被標記爲允許惡意用戶在短時間內“打印資產”。Kraken 首席安全官 Nick Percoco 表示，該安全漏洞在發現後幾個小時內就得到了控制。

該漏洞於 6 月 9 日首次透過漏洞賞金計畫引起 Kraken 的注意。

此次調查發現了一起孤立事件，惡意方可能發起不完整存款以欺詐性地接收資金。 Percoco澄清稱，該漏洞是在特定條件下發生的，不會使客戶資產直接面臨風險。

Kraken 透露它在 X 上被利用

隨後對系統完整性的調查顯示，在正式報告該錯誤之前不久，該漏洞已被三個不同的帳戶利用。這些帳戶設法在幾天內巧合地發生的一系列交易中吸走大量資金。

Percoco 透露，報告該 bug 的個人最初通過向自己的帳戶存入 4 美元來測試該缺陷，據稱是為了證明該 bug 的存在並通過 bug 賞金計劃獲得獎勵。

然而，後來發現此人與兩名同事分享了該漏洞的詳細信息，而不是保密。隨後，這些合作者直接從 Kraken 公司的儲備金中提取了總計近 300 萬美元的資金。

Percoco 強調，這些資金並非來自其他客戶帳戶。針對這一事件，Kraken 要求全面說明他們的活動並歸還被盜資金。

然而，被指控方扣留了資金，要求 Kraken 首先披露漏洞利用的潛在範圍（如果尚未披露）。

Kraken的回應與法律行動

當研究人員將 Kraken 返還資金的要求標記為「不合理」和「不專業」時，這種情況進一步升級。

因此，Kraken 選擇不公開涉案研究公司的身份，理由是違反了漏洞賞金條款，並將其行為不僅不道德，而且構成犯罪。

該交易所目前正在與執法部門協調，將該問題視為刑事案件處理，並拒絕承認涉案公司的行為。

Kraken 的這一不幸事件加劇了數位資產漏洞的更廣泛範圍，預計 2024 年加密貨幣駭客攻擊將會增加。

按漏洞劃分的加密貨幣損失細分

根據 Merkle Science 的《2024 Crypto HackHub 報告》，光是 2024 年第一季度，駭客就竊取了價值 5.427 億美元的數位資產，較 2023 年同期成長了 42%。

業界注意到這些安全漏洞的性質發生了變化，私鑰洩漏現在超過了智慧合約漏洞，成為主要原因。這一趨勢與前幾年形成鮮明對比，前幾年智能合約的漏洞更為主導。

該報告也強調，由於智慧合約漏洞造成的損失顯著減少，從2022 年的26 億美元下降到2023 年的1.79 億美元，下降了92%。超過55% 歸因於私鑰洩密事件凸顯了加密貨幣領域持續存在的安全挑戰。

在過去 13 年中，該產業遭遇了 785 起駭客攻擊和漏洞利用事件，損失近 190 億美元，這表明迫切需要全面改進安全措施。

駭客利用 Kraken Bug，竊取近 300 萬美元的貼文首先出現在 Coinfomania 上。