總長DR
Kraken 發現了一個漏洞,該漏洞允許用戶人爲地增加其餘額並在未完成存款的情況下提取資金。
區塊鏈安全公司 CertiK 自稱是利用該漏洞從 Kraken 金庫中提取近 300 萬美元的“安全研究員”。
Kraken 聲稱 CertiK 拒絕退還資金,直到交易所提供潛在損失的估計,稱其爲“敲詐勒索”。
CertiK 爲自己的行爲進行辯護,稱其正在測試漏洞的範圍,並且 Kraken 曾威脅其員工在不合理的時間內退還不匹配的資金。
該事件引發了加密貨幣行業關於白帽黑客和漏洞賞金計劃的道德問題的爭論。
加密貨幣交易所 Kraken 最近透露,該公司受到安全漏洞的影響,該漏洞允許用戶人爲增加賬戶餘額並在未完成存款的情況下提取資金。該交易所報告稱,由於該漏洞,其金庫被盜取了近 300 萬美元。
區塊鏈安全公司 CertiK 站出來承認自己是利用該漏洞並提取資金的“安全研究員”。
Kraken 首席安全官 Nick Percoco 此前曾指責當時未透露姓名的安全團隊“敲詐勒索”,因爲他們拒絕退還資金,直到交易所提供如果該漏洞未披露將造成的潛在損失的估計值。
Kraken 安全更新:
2024 年 6 月 9 日,我們收到了一名安全研究人員發來的 Bug Bounty 計劃警報。最初沒有透露具體細節,但他們在電子郵件中聲稱發現了一個“極其嚴重”的漏洞,該漏洞使他們能夠人爲地增加我們平臺上的餘額。
— Nick Percoco (@c7five) 2024 年 6 月 19 日
然而,CertiK 爲自己的行爲進行了辯護,聲稱它一直在測試漏洞的範圍,並且 Kraken 威脅其員工在不合理的時間內退還不匹配的資金,甚至沒有提供還款地址。
CertiK 最近在 @krakenfx 交易所中發現了一系列嚴重漏洞,可能會導致數億美元的損失。
從@krakenfx 存款系統中發現的問題開始,它可能無法區分不同的內部......pic.twitter.com/JZkMXj2ZCD
— CertiK (@CertiK) 2024 年 6 月 19 日
該安全公司提供了事件時間表,詳細說明了其與 Kraken 的互動以及漏洞的發現。
據 CertiK 稱,該漏洞允許數百萬美元存入任何 Kraken 賬戶,並能夠提取僞造的加密貨幣並將其轉換爲有效的加密貨幣。
該公司還聲稱,在其多日的測試期間沒有觸發任何警報,而 Kraken 僅在首次披露後幾天才做出迴應並鎖定了測試賬戶。
該事件引發了關於白帽黑客道德問題和漏洞賞金計劃有效性的爭論。
雖然一些人認爲 CertiK 的行爲是爲了徹底測試漏洞而採取的合理行動,但另一些人認爲,該公司提取如此大筆資金並拒絕及時歸還已經越界了。
Kraken 堅稱 CertiK 的行爲不符合白帽黑客的原則,並表示正在與執法機構合作追回資產。該交易所還強調,用戶資金沒有受到此次攻擊的影響,因爲被盜資金來自 Kraken 自己的金庫。
文章《漏洞賞金計劃出錯:Kraken 指控 CertiK 敲詐勒索,CertiK 爲其行爲辯護》首先出現在 Blockonomi 上。
