

Kraken 指被白帽通过漏洞勒索被盗 300 万镁,Certik:遭受 Kraken 威胁
美国知名加密货币交易所 Kraken 近日遭遇重大安全漏洞,导致至少价值 300 万美元的数位资产被盗。然而,Kraken 强调用户资金并未受到威胁。
In the essence of transparency, we are disclosing this bug to the industry today. We are being accused of being unreasonable and unprofessional for requesting that “white-hat hackers” return what they stole from us. Unbelievable.
— Nick Percoco (@c7five) June 19, 2024
内容目录
Kraken 公布,一个研究团队发现了交易所的一个重大安全漏洞,并因此持有了价值 300 万美元的数位资产。这一漏洞最早于 6 月 9 日被一位匿名的自称「安全研究员」发现并通知了 Kraken。
然而,Kraken 的资安长 Nick Percoco 表示,该研究员相关的两个帐户利用这一漏洞提取了超过 300 万美元的数位资产。Percoco 表示:
「他们要求与业务团队通话,并且在我们提供预计漏洞可能造成的损失金额之前,拒绝归还任何资金。这不是白帽黑客行为,而是勒索!」
Kraken 强调,这些被盗的加密货币是从 Kraken 自身的资金库中被盗的,用户资金并未受到威胁。
在此次事件中,与漏洞有关的三个 Kraken 帐户之一曾经通过 KYC 验证,该帐户的所有者声称自己是一名安全研究员,但其身份尚未公开。这名研究员最初通过一次价值 4 美元的加密货币转帐证明了漏洞,这已足以让他从 Kraken 的漏洞赏金计划中获得「可观的奖励」。
然而,这名研究员将漏洞告知了其他两个帐户,这两个帐户不当提取了接近 300 万美元的资金。Kraken 的资安长 Nick Percoco 表示:
「为了透明,我们今天向业界披露这个漏洞。我们要求这些『白帽黑客』归还他们从我们这里偷走的东西,却被指责不合理和不专业。难以置信。」
资安团队 CertiK 看起来是这场争端的主角,而它也反控遭到 Kraken 威胁。
CertiK 表示,调查始于对 Kraken 存款系统的重要发现。CertiK 的团队发现该系统可能无法区分不同的内部转帐状态。这促使了围绕三个关键问题的全面检查:
调查结果令人震惊。Kraken在这三项测试中全部失败,显示其深度防御系统在多方面被攻破。
调查显示,数百万美元可以被伪造地存入任何 Kraken 帐户。更令人担忧的是,价值超过 100 万美元的伪造加密货币可以从该帐户提取,并转换为合法的加密资产。在多日测试期间,未触发任何警报。Kraken 仅在 CertiK 正式报告事件后数天,才采取行动并锁定测试帐户。
在收到 CertiK 的报告后,Kraken 的安全团队将该问题定义为「严重」,即最高严重级别。虽然最初在识别和修复漏洞方面的对话看似成功,但情况很快恶化。Kraken 的安全运营团队威胁 CertiK 的个别员工,要求在不合理的时间内归还一笔数量不对的加密货币,且未提供任何还款地址。
CertiK 敦促 Kraken 停止对白帽黑客的恐吓行为,强调在解决安全风险和保护去中心化金融未来方面进行合作的重要性。
(资安公司 Certik 勒索兼盗币?Kraken 气炸,网评:早已素行不良)