Kraken 因漏洞被盗近 300 万美元
Kraken 是一家知名加密货币交易所,近日爆出其一个漏洞让人们可以将钱存入自己的账户,而无需实际完成存款。在漏洞得到修复之前,黑客利用此漏洞从 Kraken 的金库中窃取了近 300 万美元。Kraken 的首席安全官 (CSO) 分享了有关此事件的详情。
漏洞发现
6 月 9 日,Kraken 的漏洞赏金计划收到一个关于“极其严重”漏洞的警报。此警报由一位安全研究员发送,他注意到了一个严重的缺陷。据 Kraken 的 CSO Nick Percoco 称,此漏洞使某人能够人为地增加他们的账户余额。这意味着他们可以发起存款并在未完成存款流程的情况下接收资金。
漏洞是如何运作的
此漏洞是由于 Kraken 平台的用户体验 (UX) 设计最近发生的变化造成的。此缺陷使得在资产存款完全结算之前,账户就可以获得贷记。这使得攻击者可以暂时“打印资产”到他们的账户中。不过,Percoco 保证没有客户资产面临风险;此问题与 Kraken 自有资金有关。
修复前的漏洞利用
Kraken 在收到警报后数小时内迅速修复了此漏洞。然而,调查显示,三个账户已在几天内利用此漏洞。其中一个账户属于发现此漏洞的安全研究员。此人声称通过向其账户存入 4 美元来测试此漏洞。然后,他们提交了一份漏洞赏金报告并要求获得奖励。
关联人员进行更大规模的漏洞利用
当发现该研究员已将此漏洞共享给其他两人时,情况变得更加严重。这些人利用此漏洞从 Kraken 的金库中提取了大得多的资金,总计近 300 万美元。Percoco 澄清说,这笔钱来自 Kraken 的资金,而不是客户资产。
Kraken 的回应
Kraken 要求研究人员归还资金并提供他们活动的完整记录。然而,除非 Kraken 透露潜在漏洞的规模,否则研究人员拒绝归还资金。Percoco 将此要求标记为敲诈行为,并表示这不是白帽黑客行为。
法律诉讼和安全措施
由于违反了漏洞赏金计划条款,Kraken 决定将此案件作为刑事案件处理。他们选择不透露所涉及的研究公司的名称,认为他们不值得获得认可。相反,Kraken 与执法机构合作来处理此情况。
漏洞赏金计划的重要性
此事件凸显了漏洞赏金计划在识别和修复漏洞方面的重要性。漏洞赏金计划旨在奖励发现并报告漏洞的研究人员。然而,这也表明了研究人员不遵循道德准则时的潜在风险。
保护加密货币交易所
像 Kraken 这样的加密货币交易所必须不断提高其安全措施以防止此类漏洞利用。这包括对新功能进行彻底测试以及对报告的任何问题快速响应。通过这样做,他们可以保护自己的平台并维护其用户的信任。
Kraken 最近的漏洞利用事件提醒人们加密货币交易所面临的挑战。Kraken 从其金库中损失了近 300 万美元,迅速采取行动修复了漏洞,并正在对责任人提起诉讼。此案例强调了加密行业中稳健的安全措施和道德实践的重要性。
