Kraken 加密货币交易所利用零日漏洞遭窃 300 万美元

加密货币交易所 Kraken 透露，一名未透露姓名的安全研究人员利用其平台中“极其严重”的零日漏洞窃取了价值 300 万美元的数字资产，并拒绝归还。

Kraken 首席安全官 Nick Percoco 在 X（前 Twitter）上分享了该事件的详细信息，称其收到了 Bug Bounty 计划的警报，警告称有一个漏洞“允许他们在我们平台上人为地增加余额”，但没有透露任何其他细节

该公司表示，在收到警报后的几分钟内就发现了一个安全问题，该问题实际上允许攻击者“在我们的平台上发起存款并在未完全完成存款的情况下将资金存入他们的账户”。

虽然 Kraken 强调称，客户资产不会受到该问题威胁，但威胁者可能会借此将资产印在客户的账户中。该公司表示，该问题在 47 分钟内得到解决。

该公司还表示，该漏洞源于最近的用户界面变化，该变化允许客户存入资金并在清算前使用它们。

除此之外，进一步调查还发现，有三个账户（包括一个所谓安全研究员的账户）在几天之内利用了该漏洞并窃取了 300 万美元。

“这个人发现了我们资金系统中的漏洞，并利用它在自己的账户中存入了 4 美元的加密货币，”Percoco 说。“这足以证明这个漏洞，向我们的团队提交漏洞赏金报告，并根据我们的计划条款收取非常可观的奖励。”

“相反，这位‘安全研究员’向另外两名合作者透露了这个漏洞，这两名合作者通过欺诈手段获得了更大的金额。他们最终从 Kraken 账户中提取了近 300 万美元。这些钱来自 Kraken 的资金，而不是其他客户资产。”

事情发生了奇怪的转折，当 Kraken 要求该公司分享用于创建链上活动的概念验证 (PoC) 漏洞并安排退还他们提取的资金时，他们却要求该公司与其业务开发团队联系，支付一定金额以释放资产。

“这不是白帽黑客，而是敲诈勒索，”佩尔科科表示，并敦促有关方面归还被盗资金。

该公司的名称没有透露，但 Kraken 表示将把这起安全事件视为刑事案件，并正在就此事与执法机构进行协调。

“作为一名安全研究人员，只要遵守你参与的漏洞赏金计划的简单规则，你就可以‘入侵’一家公司，”Percoco 指出。“无视这些规则并敲诈公司将吊销你的‘入侵许可证’。这会让你和你的公司成为罪犯。”