Kraken 指被白帽透過漏洞勒索被盜 300 萬鎂,Certik:遭受 Kraken 威脅
美國知名加密貨幣交易所 Kraken 近日遭遇重大安全漏洞,導致至少價值 300 萬美元的數位資產被盜。然而,Kraken 強調用戶資金並未受到威脅。
In the essence of transparency, we are disclosing this bug to the industry today. We are being accused of being unreasonable and unprofessional for requesting that “white-hat hackers” return what they stole from us. Unbelievable.
— Nick Percoco (@c7five) June 19, 2024
內容目錄
某研究團隊持有 Kraken 300 萬美元資產
Kraken 公佈,一個研究團隊發現了交易所的一個重大安全漏洞,並因此持有了價值 300 萬美元的數位資產。這一漏洞最早於 6 月 9 日被一位匿名的自稱「安全研究員」發現並通知了 Kraken。
漏洞被利用 300 萬美元資金被盜
然而,Kraken 的資安長 Nick Percoco 表示,該研究員相關的兩個帳戶利用這一漏洞提取了超過 300 萬美元的數位資產。Percoco 表示:
廣告 - 內文未完請往下捲動
「他們要求與業務團隊通話,並且在我們提供預計漏洞可能造成的損失金額之前,拒絕歸還任何資金。這不是白帽駭客行為,而是勒索!」
用戶資金未受威脅
Kraken 強調,這些被盜的加密貨幣是從 Kraken 自身的資金庫中被盜的,用戶資金並未受到威脅。
Kraken 的回應:這不是白帽駭客行為
在此次事件中,與漏洞有關的三個 Kraken 帳戶之一曾經通過 KYC 驗證,該帳戶的所有者聲稱自己是一名安全研究員,但其身份尚未公開。這名研究員最初透過一次價值 4 美元的加密貨幣轉帳證明瞭漏洞,這已足以讓他從 Kraken 的漏洞賞金計劃中獲得「可觀的獎勵」。
然而,這名研究員將漏洞告知了其他兩個帳戶,這兩個帳戶不當提取了接近 300 萬美元的資金。Kraken 的資安長 Nick Percoco 表示:
「為了透明,我們今天向業界披露這個漏洞。我們要求這些『白帽駭客』歸還他們從我們這裡偷走的東西,卻被指責不合理和不專業。難以置信。」
資安團隊 Certik 反擊:遭受 Kraken 威脅
資安團隊 CertiK 看起來是這場爭端的主角,而它也反控遭到 Kraken 威脅。
Kraken 重大安全漏洞
CertiK 表示,調查始於對 Kraken 存款系統的重要發現。CertiK 的團隊發現該系統可能無法區分不同的內部轉帳狀態。這促使了圍繞三個關鍵問題的全面檢查:
- 惡意行為者是否可以偽造一筆存款交易到Kraken帳戶?
- 惡意行為者是否可以提取偽造的資金?
- 大額提現請求可能會觸發哪些風險控制和資產保護措施?
調查結果令人震驚。Kraken在這三項測試中全部失敗,顯示其深度防禦系統在多方面被攻破。
偽造交易和未授權提現
調查顯示,數百萬美元可以被偽造地存入任何 Kraken 帳戶。更令人擔憂的是,價值超過 100 萬美元的偽造加密貨幣可以從該帳戶提取,並轉換為合法的加密資產。在多日測試期間,未觸發任何警報。Kraken 僅在 CertiK 正式報告事件後數天,才採取行動並鎖定測試帳戶。
Kraken 的回應與後續行動
在收到 CertiK 的報告後,Kraken 的安全團隊將該問題定義為「嚴重」,即最高嚴重級別。雖然最初在識別和修復漏洞方面的對話看似成功,但情況很快惡化。Kraken 的安全運營團隊威脅 CertiK 的個別員工,要求在不合理的時間內歸還一筆數量不對的加密貨幣,且未提供任何還款地址。
CertiK 敦促 Kraken 停止對白帽駭客的恐嚇行為,強調在解決安全風險和保護去中心化金融未來方面進行合作的重要性。
(資安公司 Certik 勒索兼盜幣?Kraken 氣炸,網評:早已素行不良)
