Kraken安全總監 Nick Percoco 在社交媒體平台上表示,他們於6月9日收到一名安全研究人員的報告,指出平台存在一個獎金計劃漏洞,允許用戶在存款過程中增加其餘額。這個漏洞在特定情況下允許惡意攻擊者在未完成存款的情況下獲得資金。Kraken在收到報告後立即修復了該漏洞,並未對用戶資金產生影響。
想掌握最新加密市場動態與 AI 新聞與資訊,與行業專家交流?即加入CFTime Whatsapp 討論區!
然而,之後發生的事情引起了Kraken團隊的擔憂。據稱,安全研究人員將該漏洞的細節透露給其他兩人,並從Kraken的資金庫中「欺詐性地」提取了將近300萬美元。Nick Percoco 指出,這筆款項是從Kraken的資金庫中提取的,並非其他客戶的資產。
初次的漏洞報告並未提及其他兩人的交易。當Kraken要求進一步了解他們的活動細節時,他們拒絕提供相關資訊。Nick Percoco 指出,對方要求與Kraken的商務發展團隊進行聯繫,並在未提供尚未揭露的漏洞可能引起的損失金額之前,不同意退還任何資金。Nick Percoco 指出,這樣的行為並非白帽黑客的行為,而是一種勒索行為。
目前尚不清楚這些安全研究人員的身份,但區塊鏈代碼編輯器Certik在社交媒體上表示,他們在Kraken發現了多個漏洞。Certik表示,他們進行了數天的測試,並指出這些漏洞可以被利用來創造價值數百萬美元的加密貨幣。然而,Certik在與Kraken進行初步交談後,情況變得惡化。Kraken的安全操作團隊威脅要求Certik的員工在短時間內償還不相符的加密貨幣,甚至未提供償還地址。
「獎金計劃漏洞」是許多公司用來加強其安全系統的方式
「獎金計劃漏洞」是許多公司加強安全系統的方式,透過邀請第三方黑客(即「白帽黑客」)尋找漏洞,以在惡意行為者利用前修復它們。Coinbase等競爭對手也有類似計劃,旨在幫助警報交易所的漏洞。根據Kraken在博客文章中的說法,安全研究人員應該在發現漏洞後立即報告給公司,以獲取獎金,而非進行未經授權的提款行為。