全球領先的加密貨幣交易所 Kraken 最近遇到了重大的安全挑戰。一名安全研究人員向該平臺發出警告,稱存在一個嚴重漏洞,可能導致未經授權創建數字資產。這一事件凸顯了數字資產平臺在維護強大安全措施方面面臨的持續挑戰。
收到舉報後,Kraken 的安全團隊迅速展開調查,並將其與常見的誤報區分開來。發現的漏洞特別嚴重——它使用戶能夠註冊存款並在沒有實際轉移資金的情況下將相應的信用額度存入他們的賬戶。
此缺陷源於最近的用戶體驗更新,該更新在確認存款之前過早地將款項存入用戶賬戶,存在憑空“打印”數字資產的假設風險。
後果及採取的行動
調查顯示,只有三個賬戶利用了該漏洞,其中包括舉報人的賬戶。雖然研究人員通過創建少量加密貨幣演示了這一漏洞,但他們未能通過 Kraken 的 Bug Bounty 計劃正式報告此事。
相反,他們向另外兩方披露了該方法,隨後這兩方利用該漏洞提取了數百萬的加密貨幣,最終非法提現總額達到約 300 萬美元。
Kraken 首席安全官 Nick Percoco 指出,由於初始報告不完整,缺少關鍵交易細節,處理這一情況面臨挑戰。
Kraken 安全更新:2024 年 6 月 9 日,我們收到了來自安全研究人員的 Bug Bounty 計劃警報。最初沒有披露任何具體細節,但他們的電子郵件聲稱發現了一個“極其嚴重”的漏洞,該漏洞使他們能夠人爲地增加我們平臺上的餘額。
— Nick Percoco (@c7five) 2024 年 6 月 19 日
與研究人員的對話陷入僵局,因爲他們要求支付贖金而不是退還資金,並提議根據該漏洞可能造成的潛在經濟損失進行賠付。
Kraken 將這些要求稱爲敲詐勒索,拒絕公開涉案安全公司的名稱,並正在採取法律行動,將此問題視爲刑事案件。該公司向用戶保證,客戶資產在任何時候都沒有受到損害。
