一家数字资产安全研究公司在漏洞赏金计划被利用后发生了一段不寻常的事件,之后向加密货币交易所 Kraken 返还了 300 万美元的资金。
昨天,Kraken 首席安全官 Nick PERCoco 在一个冗长的 X 帖子中表示,交易所几天前就收到警告,发现了一个“极其严重”的代码漏洞,可让黑客人为地增加其资金。
“几分钟内我们就发现了一个孤立的漏洞。在适当的情况下,恶意攻击者可以在我们的平台上发起存款,并在未完全完成存款的情况下将资金存入他们的账户。
需要明确的是,客户的资产从未受到威胁。但是,恶意攻击者可以在一段时间内有效地将资产存入他们的 Kraken 账户。”
Percoco 称,发现该漏洞的未具名“安全研究人员”在归还被利用的资金时采取了不专业的行为。
“我们从未与合法研究人员发生过此类问题,而且我们始终积极响应。
本着透明的原则,我们今天向业界披露了这个漏洞。我们被指责要求“白帽黑客”归还他们从我们这里偷走的东西是不合理和不专业的。难以置信。
作为一名安全研究人员,只要遵守您参与的漏洞赏金计划的简单规则,您就有资格“入侵”一家公司。无视这些规则并勒索公司会吊销您的“入侵许可证”。这会让您和您的公司成为罪犯。
我们不会披露这家研究公司,因为他们的行为不值得认可。我们将此视为刑事案件,并正在与执法机构进行协调。我们很感激这个问题被报告,但这个想法就到此为止了。”
然而,Percoco 今天表示,这些资金已经退还给位于美国的交易所,但安全官员仍然拒绝透露是谁退还了这些资金。
“更新:我们现在可以确认资金已退还(减去少量费用损失)。”
加密安全公司 Certik 已声称对发现该漏洞负责,并在社交媒体平台 X 上讲述了其说法:
“在最初成功识别和修复漏洞后,Kraken 的安全运营团队威胁 CertiK 的个别员工在不合理的时间内偿还不匹配的加密货币,甚至没有提供还款地址。”
Certik 表示,Kraken 正在回避该公司审计中揭露的更深层次的问题。
“白帽行动的事实:数百万美元的加密货币被凭空捏造,没有任何真正的 Kraken 用户的资产直接参与我们的研究活动。
更严重的安全问题:几天内,大量伪造的代币被生成并提取到有效的加密货币中,直到 CertiK 报告,才触发任何风险控制或预防机制。
真正的问题应该是 Kraken 的深度防御系统为何未能检测到如此多的测试交易。从不同的测试账户连续进行大额提款是我们测试的一部分。”
不要错过任何消息 – 订阅后,电子邮件提醒将直接发送到您的收件箱
查看价格行动
跟着我们 X、Facebook 和 Telegram
浏览每日 HODL Mix
 
免责声明:The DAIly Hodl 上表达的观点不构成投资建议。投资者在对比特币、加密货币或数字资产进行任何高风险投资之前应进行尽职调查。请注意,您的转账和交易风险自负,您可能遭受的任何损失均由您承担。The DAIly Hodl 不建议购买或出售任何加密货币或数字资产,也不是投资顾问。请注意,The Daily Hodl 参与联盟营销。
生成的图像:Midjourney
#区块链安全公司 #Certik #向加密货币交易所 #Kraken #返还 #万美元被盗资金
