加密货币交易所 Kraken 称,发现该平台漏洞的 "安全研究人员 "在从该交易所的金库中提取了约 300 万美元后,转而进行 "敲诈"。
Kraken 的首席安全官尼克-珀尔科(Nick Percoco)在社交媒体平台 X(前 Twitter)上发文称,该公司于 6 月 9 日收到一名安全研究人员发出的 "漏洞悬赏计划 "警报,该漏洞允许用户人为夸大余额。该漏洞 "允许恶意攻击者在适当的情况下在我们的平台上发起存款,并在没有完全完成存款的情况下在他们的账户中获得资金,"Percoco 补充说。
朝鲜黑客很可能利用云挖矿服务来清洗窃取的加密货币:曼迪安特研究公司
Percoco指出,在收到报告后,Kraken迅速修复了这个问题,没有用户的资金受到影响。
随后发生的事情让 Kraken 的团队亮起了红灯。
据称,这名安全研究员在发现漏洞后,将其透露给了另外两个人,这两个人随后从他们的 Kraken 账户中 "欺诈性地 "提取了近 300 万美元。"珀尔科说:"这是从 Kraken 的金库中提取的,而不是其他客户的资产。
最初的漏洞报告没有提及另外两人的交易,当 Kraken 要求他们提供更多活动细节时,他们拒绝了。
"相反,他们要求与他们的业务开发团队(即他们的销售代表)通话,并且不同意返还任何资金,直到我们提供如果他们不披露这个漏洞可能造成的推测金额。这不是白帽黑客,这是敲诈!"。Percoco 写道。
漏洞悬赏计划被许多公司用来加强其安全系统,它邀请被称为 "白帽子 "的第三方黑客发现漏洞,这样公司就可以在被恶意行为者利用之前修复漏洞。Kraken的竞争对手Coinbase也有一个类似的计划,帮助提醒交易所注意漏洞。
Kraken在一篇博文中说,要获得赏金,Kraken的计划要求第三方发现问题,利用最低金额来证明漏洞,归还资产并提供漏洞的细节,并补充说,由于安全研究人员没有遵守这些规则,他们不会获得赏金。
"我们与这些研究人员进行了真诚的接触,并根据十年来的漏洞赏金计划,为他们的努力提供了可观的赏金。Kraken 发言人告诉 CoinDesk:"我们对这次经历感到失望,现在正与执法机构合作,从这些安全研究人员那里取回资产。
阅读更多 你的加密项目需要的是警长,而不是赏金猎人
由 Sheldon Reback 编辑。