Kraken 是最古老的加密貨幣交易平台之一,表示它一直是受害者嚴重的安全漏洞。在發表於他的帳戶(前 Twitter),Kraken 的安全經理 Nick Percoco 解釋說,交易所收到了“錯誤賞金計劃警報”來自一位研究員。該計劃應該鼓勵研究人員和道德駭客發現並報告 Kraken 系統中的漏洞。作為工作的交換,他們可以獲得獎金。
另請閱讀:加密巨頭終於從比特幣崩盤中恢復過來
人為記入帳戶
據聯繫 Kraken 的研究人員稱,這個錯誤允許人為增加帳戶餘額。基本上,用戶可以決定他們的帳戶突然被記入數百萬美元。詳細來說,該漏洞可讓攻擊者發起“在我們的平台上存款並在您的帳戶中收到資金,而無需完全完成存款”,經理強調。
在幾分鐘內,Kraken 團隊確認了零時差漏洞的存在,也就是說仍然未知。交易所花了不到一個小時就糾正了違規行為。顯然,該漏洞是由最近的介面變更引入的,但並非如此“經過廣泛測試”。
Kraken 意識到該漏洞在幾天之內就被三個帳戶利用。其中一個帳戶已填寫表格了解您的客戶(了解你的客戶),它允許驗證所有者的身份,從而使 Kraken 能夠追蹤其中一名攻擊者的姓名。他是一名安全研究員。
尼克·佩科科解釋說,他與另外兩個帳戶就這次違規事件進行了溝通。人為生成加密貨幣後,就退出了“近300萬美元”從「來自克拉肯的金庫」。該交易所解釋說,它聯繫了這些個人以安排資金返還和獎金支付。該平台聲稱遭遇拒絕。
企圖敲詐勒索?
據 Percoco 稱,攻擊者拒絕歸還資金,並要求 Kraken 進行溝通“投機金額”此錯誤的潛在損害。為了交流,談話隨後變成了勒索企圖。這就是為什麼“我們將此事視為刑事案件,並正在與執法部門進行相應協調”,指定 Kraken。
事實證明賽迪克員工專門從事區塊鏈的網路安全公司是資金轉移的幕後黑手。尼克·珀科科 (Nick Percoco) 發表文章後不久,該公司透露,是其研究人員發現了“一系列嚴重漏洞”在交易所的運作中。作為實驗的一部分,他們將資金轉移到 Kraken 基礎設施之外。
「數百萬美元可以存入任何 Kraken 帳戶。大量鑄造的加密貨幣(價值超過 100 萬美元)可以從帳戶中提取並轉換為有效的加密貨幣 »”,塞蒂克解釋。
在這個過程中,Certik 堅決否認曾想從 Kraken 那裡偷錢。在一份出版品中X,該公司表示“Kraken 安全營運團隊”毫不猶豫地對其專家發出威脅。據報道,該交易所的安全團隊要求員工償還費用“即使不提供退款地址,也會在不合理的時間內獲得大量加密貨幣”。
自從克拉肯“未提供退款地址且請求的金額不匹配,我們將根據我們的記錄將資金轉入 Kraken 可以訪問的帳戶”,審計公司得出結論。為了透明起見,Certik 隨後披露了整個事件鏈,包括研究人員進行的所有交易的清單。正如所承諾的那樣,Certik 立即組織了資金返還。在第二篇文章中,Kraken 的安全主管宣布被盜的加密貨幣已被歸還。所以一切都恢復正常了。
