Kraken首席安全官：發現欺詐者利用漏洞從Kraken賬戶提取近300萬美元，客戶資產從受威脅

Odaily星球日報訊 Kraken Exchange 首席安全官 Nick Percoco 在 X 平臺發文披露，6 月 9 日收到瞭一名安全研究人員發出的 Bug Bounty 計劃警報，最初沒有披露任何具體細節，僅在電子郵件中聲稱發現瞭一個“極其嚴重”的漏洞，該漏洞使他們能夠人為地增加我們平臺上的餘額。Kraken 每天都會收到自稱是“安全研究人員”的人發來的虛假漏洞賞金報告。對於任何運行漏洞賞金計劃的人來說，這都不是什麼新鮮事。但幾分鐘後，Kraken 就發現瞭一個孤立的漏洞。在適當的情況下，惡意攻擊者可以在平臺上發起存款，並在未完成存款的情況下將資金存入其賬戶。需要明確的是，客戶的資產從未受到威脅。但是，惡意攻擊者可以在一段時間內有效地竊取其 Kraken 賬戶中的資產，Kraken 將此漏洞歸類為“嚴重”，在一小時內（確切地說是 47 分鐘）專傢團隊就緩解瞭此問題。在幾個小時內，此問題已完全修復，不會再次發生。通過徹底調查情況，很快發現幾天之內有 3 個賬戶利用瞭此漏洞。深入調查後發現其中一個賬戶的 KYC 被一個自稱是安全研究員的人所擁有。這位“安全研究員”向另外兩名與其合作的人透露瞭這個漏洞，這兩名人員通過欺詐手段最終從 Kraken 賬戶中提取瞭近 300 萬美元，這些錢來自 Kraken 的資金，而不是其他客戶資產。本著透明的原則，Kraken 今天向業界披露瞭這個漏洞。