Kraken:300萬美元漏洞解決案變成「勒索」?

白帽黑客還是勒索?安全性是加密貨幣領域面臨的重要挑戰之一。一方面,用戶負責自主存儲他們的數字資金,另一方面,中心化交易所(CEX)則允許委託這項服務,但無法保證絕對可靠。FTX平台的惨败仍深深印在人们脑海中,警示著我們。而像最近的Kraken平台的那樣,也可能被利用「極其關鍵」的漏洞。一宗涉及 300 萬美元的案件正在出現一個出乎意料的轉折!

Kraken遭遇 300 萬美元「極其關鍵」漏洞
Kraken平台顯然度過了一段艱難的日子。原因是一個被認為「極其關鍵」的漏洞,其損失已經估計高達 300 萬美元。
這起事件始於今年 6 月 9 日,一位安全研究人員向交易所報告了一個漏洞,允許「人為地膨脹餘額」。可以發起存款程序並收到資金,而無需完成程序。

這個信息似乎一直保密到現在。因為Kraken的安全負責人剛剛在幾小時前才在他的X帳戶上公開了這一信息。

-廣告-

「2024年6月9日,我們收到了一位安全研究人員的Bug Bounty計劃警報。最初並未透露任何細節,但他們的電子郵件聲稱發現了一個極其關鍵的漏洞,使他們能夠在我們的平台上人為地膨脹餘額。」
尼克·佩爾科科
尼克·佩爾科科表示,時間限制直接導致了一連串虛假的漏洞報告,旨在聲稱獲得獎金。但這份報告的相關性很快得到了驗證。問題也迅速得到解決。

「客戶資產從未受到威脅」
正如尼克·佩爾科科所解釋的,一旦識別並確認,涉及的漏洞在一個小時又 47 分鐘內完全得到解決。並且確信再也不會再次發生。

「明確地說,客戶資產從未受到威脅。但是,一位惡意攻擊者確實可以在其Kraken帳戶上一段時間內印製資產。」
尼克·佩爾科科
在漏洞得到解決後,Kraken的安全負責人進行了調查。他們很快發現了三個涉及此程序的不同帳戶。其中一個 – 很快被識別為安全研究人員的帳戶 – 僅進行了一筆僅為 4 美元的交易。這筆交易足以證明他的聲明並聲稱獲得漏洞獎金。

問題在哪裡?其他兩個涉及帳戶也可能屬於揭示此漏洞的網絡安全公司。他們兩個利用這個漏洞提取了 300 萬美元。他們拒絕在漏洞揭露之前歸還這些資金。

現在這件事已經公之於眾。Kraken平台現在威脅要把這件事告上法庭。因為根據尼克·佩爾科科的說法,「這不是白帽黑客行為,而是勒索!」

Previous Post
Next Post

Leave a Reply

Your email address will not be published. Required fields are marked *