加密货币交易所 Kraken 最近透露,它已成为一个严重安全漏洞的受害者,导致价值 300 万美元的 数字资产 由一个研究小组完成。
事件发生后,6 月 9 日,该交易所通过漏洞赏金计划收到一份漏洞报告,报告来自一名自称安全研究员的人,他声称发现了一个“极其严重”的漏洞,可以让他“人为增加”自己在该平台上的余额。
然而,当研究人员及其同伙发现该漏洞已窃取大量资金时,情况发生了意想不到的转变。Kraken 推出了 刑事侦察 调查此事并正在与执法机构协调解决这一事件。
Kraken 面临勒索威胁
在社交媒体上 邮政该交易所的首席安全官 Nick PERCoco 表示,在收到最初的漏洞报告后,Kraken 组建了一个跨职能团队来调查该问题。
几分钟内,他们就发现了一个孤立的错误,该错误使恶意攻击者能够发起存款,在未完全完成存款的情况下在其账户中收到资金,并在有限的时间内在其 Kraken 账户中有效地创建资产。
该漏洞被归类为严重漏洞,据报道,该团队在一小时内缓解了该问题,确保不会再次发生。该漏洞源于最近的用户体验 (UX) 更改,该更改允许客户进行交易 加密市场 在资产清算之前实时进行,这一变化尚未针对这一特定的攻击媒介进行彻底测试。
进一步调查显示,三个账户在几天之内就利用了该漏洞。据称,其中一个账户与一名自称是安全研究员的人有关,该研究员发现了该漏洞,并向其账户存入了“少量加密货币”以证明该漏洞的存在。
然而,报告漏洞并获得 漏洞赏金 为了获得奖励,该人向两名同伙透露了这一漏洞,他们通过欺诈手段获得了更大的金额。三人总共从 Kraken 的金库中取走了近 300 万美元。
当 Kraken 要求退还资金时,研究人员拒绝了,要求与其业务开发团队进行讨论,并具体说明如果不披露该漏洞可能造成的估计金额。
针对研究公司的法律行动
Percoco 在演讲中进一步透露,Kraken 坚决谴责研究团队的行为,认为他们的行为是“敲诈勒索”,而不是合法的 白帽黑客。
该交易所已维持了近十年的 Bug Bounty 计划,并强调其从未遇到过与合法研究人员有关的问题,并且始终遵循明确的规则,例如不利用超出证明需要的漏洞、提供概念证明以及立即返还任何提取的资产。
最后,该交易所的首席安全官还表示,Kraken 将此事件视为刑事案件,并积极配合执法部门。尽管该交易所对报告表示感谢,但它打算继续追究 合法举动 针对涉事研究公司。
特色图片来自 DALL-E,图表来自 TradingView.com
#Kraken #曝光研究团队 #万美元漏洞启动刑事调查