加密貨幣交易所Kraken因被利用的安全漏洞損失300萬美元

全球領先的加密貨幣交易平台Kraken最近承認自己成為一次成功利用零日漏洞竊取價值數百萬的加密貨幣的攻擊的受害者。
該漏洞是由Kraken的首席安全官Nick Percoco解釋為使攻擊者能夠操縱網站上的資產負債表數字，使其超出實際資金支持的水平。
這個關鍵性漏洞允許攻擊者在尚未完成存款過程的情況下存款和提款。
Kraken在47分鐘內對警報做出了快速回應並解決了安全問題。問題被追蹤到一個一段時間前引入的新用戶界面，該界面允許客戶在存款被交收所確認之前進行存款並使用資金。
儘管Kraken表示在入侵期間沒有客戶的現金損失，但這個漏洞使有不良意圖的人能夠存入和提取虛假現金。
在這種情況下，三個帳戶在一周內開始嘗試相同的操作，他們中的所有人都試圖從交易所轉出300萬美元。其中一個帳戶是最近報告了這個漏洞的安全研究人員的帳戶。
對於第一個被識別出的漏洞，Percoco評論說，一個試圖利用它的人投資了4美元的加密貨幣來說明問題，這足以作為一份漏洞獎金報告和隨後的獎勵。然而，這位研究人員決定將漏洞詳細信息交給另外兩個參與者，他們共同從Kraken的資金庫中竊取了將近300萬美元。
當Kraken找這些人要求歸還被盜資金並提供概念證明（PoC）漏洞利用時，這些研究人員要求支付費用以換取資產歸還。Percoco譴責這種行為為勒索，並強調這違反了白帽黑客的道德原則。
Kraken將此事件視為刑事案件並與執法機構協調。
同樣閱讀：
令人震驚：加密貨幣“屠宰”詐騙案件正在上升！你應該知道的事情
標籤
黑客