Kraken加密货币交易所面临安全研究人员的勒索企图

网络 阅读: 2024-11-20 01:36:13
欧意最新版本

欧意最新版本

欧意最新版本app是一款安全、稳定、可靠的数字货币交易平台。

APP下载  官网地址

2024年6月9日,著名加密货币交易所Kraken收到了一份令人震惊的Bug Bounty报告。该报告由一名安全研究人员提交,声称发现了一个“极其关键”的漏洞,导致余额膨胀。然而,最初看似例行的漏洞报告很快变成了勒索企图。

在调查漏洞报告时,由Kraken首席安全官Nick Percoco领导的团队发现了一个价值300万美元的漏洞。具体来说,这位高管在6月19日发布的X(前身为推特)上的一条帖子中谈到了整个情况。

值得注意的是,调查显示,三个账户在几天内相继利用了报告的漏洞。其中一个账户属于一名自称是安全研究员的个人。从本质上讲,这个人发现并利用这个漏洞将4美元的加密货币记入他们的账户。

Perococo称这足以证明缺陷,并通过Kraken的Bug Bounty计划获得可观的奖励。然而,在注意到另外两个账户后,事情迅速升级,据称这两个账户受益于第一人称的披露。

“相反,‘安全研究人员’向他们合作的另外两个人披露了这个漏洞,这两个人欺诈性地产生了更大的金额。他们最终从Kraken账户中提取了近300万美元。这些资金来自Kraken的金库,而不是其他客户资产。”-Nick Percoco

从错误报告到勒索企图

当Kraken要求全面说明他们的活动并归还提取的资金时,安全研究人员拒绝了,并要求与他们的业务开发团队通话,这被Percoco称为敲诈勒索。

此外,首席安全办公室解释说,Kraken的Bug Bounty计划实施了近十年,有明确的规则。特别地:

“不要利用超过必要的漏洞来证明漏洞,提供概念证明,并立即归还任何提取的资金。”

据该交易所的高管称,合法的研究人员从未遇到过Kraken的问题,而Kraken一直都是反应灵敏的。

为了提高透明度,该公司向行业披露了该漏洞,并与执法机构协调,将该事件视为刑事案件。该交易所强调,无视漏洞奖励计划规则并试图勒索该公司将吊销研究人员的“黑客许可证”,使他们成为罪犯。

Kraken的漏洞调查

此外,Nick Percoco透露,该交易所定期收到虚假的窃听器赏金报告。尽管如此,Kraken还是认真对待这份报告,并迅速组建了一个小组进行调查。几分钟内,他们发现了一个孤立的漏洞,在特定情况下,恶意攻击者可以在未完全完成交易的情况下启动存款并接收资金。

“需要明确的是,没有任何客户的资产面临风险。然而,恶意攻击者可以在一段时间内有效地在他们的Kraken账户中打印资产。”-Nick Percoco

据Percoco报道,Kraken的团队在1小时47分钟内解决了这个问题。该漏洞在几个小时内被完全修复,确保其不会再次出现。该缺陷源于最近的一次用户体验(UX)更改,该更改在客户账户的资产清理之前将其记入贷方,从而实现实时交易。

“这一变化没有针对特定的攻击向量进行彻底测试”——Nick Percoco

尽管有这种孤立的经历,Kraken仍然致力于其Bug Bounty计划,认识到其在增强加密生态系统整体安全方面的重要性。该交易所期待着在未来与善意的行为者合作,同时采取反对不道德行为的立场。

本文 原创,转载保留链接!网址:https://licai.bangqike.com/bixun/924174.html

标签:
声明

1.本站遵循行业规范,任何转载的稿件都会明确标注作者和来源;2.本站的原创文章,请转载时务必注明文章作者和来源,不尊重原创的行为我们将追究责任;3.作者投稿可能会经我们编辑修改或补充。

关注我们

扫一扫关注我们,了解最新精彩内容

搜索