最优质的加密货币资讯直接发送到您的邮箱。.
- Kraken 的一个严重漏洞允许恶意行为者凭空印钞。.
- 安全研究人员向交易所发出漏洞警报,希望获得高于最高赏金的奖励。.
- Kraken公司表示,研究人员的行为属于犯罪行为,他们正在向有关部门报案。.
美国交易所 Kraken 的资金池损失了近 300 万美元,原因是某家未具名的安全公司利用了其平台上的一个漏洞。首席安全官 Nick Percoco 披露了 此事,并表示该安全公司拒绝归还资金,反而要求更高的赏金。
另请阅读: 加密货币交易所 DMM Bitcoin 承诺在 3 亿美元黑客攻击事件后向用户退款
对此,Kraken已将此事上报执法机构,并将以刑事案件处理。不过,用户无需担心,交易所声称已修复漏洞,且没有用户账户受到影响。.
Kraken漏洞允许印钞
据 Percoco 称,一位安全研究人员于 6 月 9 日通过 Kraken 的漏洞赏金计划向其报告了一个严重漏洞。经内部调查,交易所安全团队发现该漏洞可能允许恶意攻击者发起向其 Kraken 账户存款的操作,并在未完成存款的情况下获取资金。恶意攻击者可以利用此漏洞凭空创造数百万美元。.
他解释说:
“我们发现了一个孤立的漏洞。在特定情况下,恶意攻击者可以利用这个漏洞在我们的平台上发起存款,并在未完成存款的情况下将资金存入其账户。”
内部安全团队在 47 分钟内缓解了该问题,并在几个小时后彻底修复了它。然而,该公司发现该漏洞源于其用户体验 (UX) 的一项最新更改,该更改允许客户账户在资产清算之前获得入账。尽管这项更改旨在实现即时交易,但并未针对此类风险进行充分测试。.
不过,Percoco 补充说,该dent 并未影响用户的资产,漏洞利用仅影响了 Kraken 的资金库。.
这些安全研究人员都是罪犯。
与此同时,对该漏洞的分析发现,有三个账户利用了该漏洞,其中一个账户是以最初联系交易所的安全研究人员的名义注册的。.
另请阅读: Kraken考虑因欧盟新规而将USDT下架
虽然研究人员的账户仅利用该漏洞给自己充值了 4 美元(足以证明该漏洞真实存在),但另外两个账户却利用同样的漏洞从他们的 Kraken 账户中提现了近 300 万美元。值得注意的是,这些账户都与这位安全研究人员的同事有关。.
Kraken解释说,他们追回资金的努力已经徒劳无功,因为研究人员现在要求更高的赔偿金,他们认为这与该漏洞的风险相称。.
Percoco将此描述为敲诈勒索行为,这与漏洞赏金计划的原则背道而驰。他补充说,违反赋予白帽黑客攻击许可的规则,会使安全研究人员沦为罪犯,而交易所正是这样对待他们的。.
如果你正在阅读这篇文章,你已经领先一步了。 订阅我们的新闻简报,继续保持领先优势。
免责声明: 提供的信息并非交易建议。Cryptopolitan.com Cryptopolitan研究 对任何基于本页面信息进行的投资概不负责。我们tron您在做出任何投资决定前进行独立dent /或咨询合格的专业人士。
学速成课程
- 哪些加密货币可以让你赚钱
- 如何通过钱包提升安全性(以及哪些钱包真正值得使用)
- 专业人士使用的鲜为人知的投资策略
- 如何开始投资加密货币(使用哪些交易所、购买哪种加密货币最划算等)