加密货币交易所 Kraken 称，发现该平台漏洞的 "安全研究人员 "在从该交易所的金库中提取了约 300 万美元后，转而进行 "敲诈"。

Kraken 的首席安全官尼克-珀尔科（Nick Percoco）在社交媒体平台 X（前 Twitter）上发文称，该公司于 6 月 9 日收到一名安全研究人员发出的 "漏洞悬赏计划 "警报，该漏洞允许用户人为夸大余额。该漏洞 "允许恶意攻击者在适当的情况下在我们的平台上发起存款，并在没有完全完成存款的情况下在他们的账户中获得资金，"Percoco 补充说。

Percoco指出，在收到报告后，Kraken迅速修复了这个问题，没有用户的资金受到影响。

随后发生的事情让 Kraken 的团队亮起了红灯。

据称，这名安全研究员在发现漏洞后，将其透露给了另外两个人，这两个人随后从他们的 Kraken 账户中 "欺诈性地 "提取了近 300 万美元。"珀尔科说："这是从 Kraken 的金库中提取的，而不是其他客户的资产。

最初的漏洞报告没有提及另外两人的交易，当 Kraken 要求他们提供更多活动细节时，他们拒绝了。

"相反，他们要求与他们的业务开发团队（即他们的销售代表）通话，并且不同意返还任何资金，直到我们提供如果他们不披露这个漏洞可能造成的推测金额。这不是白帽黑客，这是敲诈！"。Percoco 写道。

漏洞悬赏计划被许多公司用来加强其安全系统，它邀请被称为 "白帽子 "的第三方黑客发现漏洞，这样公司就可以在被恶意行为者利用之前修复漏洞。Kraken的竞争对手Coinbase也有一个类似的计划，帮助提醒交易所注意漏洞。

Kraken在一篇博文中说，要获得赏金，Kraken的计划要求第三方发现问题，利用最低金额来证明漏洞，归还资产并提供漏洞的细节，并补充说，由于安全研究人员没有遵守这些规则，他们不会获得赏金。

"我们与这些研究人员进行了真诚的接触，并根据十年来的漏洞赏金计划，为他们的努力提供了可观的赏金。Kraken 发言人告诉 CoinDesk："我们对这次经历感到失望，现在正与执法机构合作，从这些安全研究人员那里取回资产。

阅读更多 你的加密项目需要的是警长，而不是赏金猎人