Kraken 是最古老的加密货币交易平台之一,表示它一直是受害者严重的安全漏洞。在发表于他的帐户(前 Twitter),Kraken 的安全经理 Nick Percoco 解释说,交易所收到了“错误赏金计划警报”来自一位研究员。该计划应该鼓励研究人员和道德黑客发现并报告 Kraken 系统中的漏洞。作为工作的交换,他们可以获得奖金。
另请阅读:加密巨头终于从比特币崩盘中恢复过来
人为记入账户
据联系 Kraken 的研究人员称,这个错误允许人为地增加账户余额。基本上,用户可以决定他们的帐户突然被记入数百万美元。详细来说,该漏洞可让攻击者发起“在我们的平台上存款并在您的帐户中收到资金,而无需完全完成存款”,经理强调道。
在几分钟内,Kraken 团队确认了零日漏洞的存在,也就是说仍然未知。交易所花了不到一个小时就纠正了违规行为。显然,该漏洞是由最近的界面更改引入的,但并非如此“经过广泛测试”。
Kraken 意识到该漏洞在几天之内就被三个帐户利用。其中一个帐户已填写表格了解您的客户(了解你的客户),它允许验证所有者的身份,从而使 Kraken 能够追踪其中一名攻击者的姓名。他是一名安全研究员。
尼克·佩科科解释说,他与另外两个账户就此次违规事件进行了沟通。人为生成加密货币后,他们就退出了“近300万美元”从“来自克拉肯的金库”。该交易所解释说,它联系了这些个人以安排资金返还和奖金支付。该平台声称遭遇拒绝。
企图敲诈勒索?
据 Percoco 称,攻击者拒绝归还资金,并要求 Kraken 进行沟通“投机金额”此错误的潜在损害。为了交流,谈话随后变成了勒索企图。这就是为什么“我们将此事视为刑事案件,并正在与执法部门进行相应协调”,指定 Kraken。
事实证明赛迪克员工一家专门从事区块链的网络安全公司是资金转移的幕后黑手。尼克·珀科科 (Nick Percoco) 发表文章后不久,该公司透露,是其研究人员发现了“一系列严重漏洞”在交易所的运营中。作为实验的一部分,他们将资金转移到 Kraken 基础设施之外。
“数百万美元可以存入任何 Kraken 账户。大量铸造的加密货币(价值超过 100 万美元)可以从账户中提取并转换为有效的加密货币 »”,塞蒂克解释道。
在此过程中,Certik 坚决否认曾想从 Kraken 那里偷钱。在一份出版物中X,该公司表示“Kraken 安全运营团队”毫不犹豫地对其专家发出威胁。据报道,该交易所的安全团队要求员工偿还费用“即使不提供退款地址,也会在不合理的时间内获得大量加密货币”。
自从克拉肯“未提供退款地址且请求的金额不匹配,我们将根据我们的记录将资金转至 Kraken 可以访问的账户”,审计公司得出结论。为了透明起见,Certik 随后披露了整个事件链,包括研究人员进行的所有交易的列表。正如所承诺的那样,Certik 立即组织了资金返还。在第二篇帖子中,Kraken 的安全主管宣布被盗的加密货币已被归还。所以一切都恢复正常了。
