加密貨幣交易所 Kraken 因利用安全漏洞損失 300 萬美元一文首次出現在 Coinpedia Fintech News 上

全球領先的加密貨幣交易平臺 Kraken 最近承認其遭受了一次攻擊，該攻擊成功利用了零日漏洞竊取了價值數百萬的加密貨幣。

漏洞揭曉

2024 年 6 月 9 日，Kraken 收到了其 Bug Bounty 研究人員的一封電子郵件，警告其網絡存在嚴重漏洞。正如 Kraken 首席安全官 Nick Percoco 所解釋的那樣，該漏洞使攻擊者能夠操縱網站上的資產負債表數字，達到實際資金無法支持的水平。

此嚴重漏洞允許攻擊者在尚未完成存款過程的情況下在其賬戶中存款和取款。

反應迅速但不夠迅速

Kraken 能夠在 47 分鐘內對警報做出響應並消除安全問題。問題被追溯到前段時間推出的一個新用戶界面，該界面允許客戶在清算所識別存款之前（如果有的話）進行存款和使用資金。

儘管 Kraken 表示在入侵過程中沒有客戶的現金丟失，但該漏洞使心懷不軌的人可以存入和提取假現金。

在這種情況下，三個賬戶在一週內開始嘗試相同的操作，所有賬戶都試圖將 300 萬美元轉出交易所。其中一個賬戶的所有者是最近報告此漏洞的安全研究人員。

至於第一個發現的漏洞，Percoco 評論說，一個試圖利用它的人投資了 4 美元的加密貨幣來說明這個問題，這足以獲得一份漏洞賞金報告和隨後的獎勵。然而，研究人員決定將漏洞詳細信息提供給另外兩名參與者，他們共同從 Kraken 的金庫中竊取了近 300 萬美元。

道德困境還是敲詐勒索？

當 Kraken 要求這些人歸還被盜資金並提供概念驗證 (PoC) 漏洞時，研究人員要求他們支付費用以換取資產返還。Percoco 譴責這種行爲是敲詐勒索，並強調這違反了白帽黑客的道德原則。

Kraken 將此事件視爲刑事案件，並正在與執法機構協調

另請閱讀：令人震驚：加密貨幣“殺豬”騙局不斷增多！您應該知道什麼