漏洞允许用户打印钞票后，Kraken损失近300万美元

Kraken公司周四透露，该公司最近修补了一个漏洞，该漏洞允许平台用户连续数月在账户中变出免费资金。

首席安全官尼克·佩罗科在推特上发帖称，他的团队本月早些时候发现了一个“孤立的漏洞”，让客户“人为地夸大他们的余额”。该团队是在6月9日收到一名安全研究人员发出的漏洞奖励计划警报后才发现的，该警报声称他们在系统中发现了“极其严重的漏洞”。

Kraken通信主管Alexander Cassells在给Decrypt的一封电子邮件中表示：“该功能于1月份在平台上出现。”。

根据Percoco的说法，用户可以向Kraken发起存款，并在存款实际完成之前将资金贷记到他们的账户中。

他写道：“恶意攻击者可以在一段时间内有效地在他们的Kraken账户中打印资产。”。

其他加密货币交易所也出现了类似的漏洞。早在2020年，加拿大加密货币交易所Coinberry的一个软件故障导致500多名用户从交易所窃取了300万美元的比特币，他们启动了向平台的即时电子转账，让自己的账户入账，然后在存款最终确定前取消存款。

理论上，用户可以将交易所合法的比特币提取回他们控制的钱包。由于链上比特币提款是不可逆转的，此类故障可能会给受影响的公司带来潜在的无法弥补的损失。

卡塞尔斯在谈到Kraken的漏洞时说：“这不是一个任何人都可以利用的简单的日常漏洞。”该漏洞在发现后数小时内就被修复了。“需要大量的链上边缘案例专业知识才能发现，直到最近才有人发现这个问题，这一事实证明了这一点。”

值得庆幸的是，在那段时间里，除了通知Kraken这个问题的研究人员和第一个通知的另外两名研究人员之外，没有人真正利用过这个漏洞。

然而，尽管提交漏洞赏金报告的人用它来贷记他们的钱包4美元，Perroco说，另外两名研究人员从他们的Kraken账户中欺诈性地提取了近300万美元，损失由Kraken的财政部承担。

Perroco说，最初的漏洞赏金报告没有披露更大的交易。研究人员还拒绝遵循克拉肯虫赏金程序的其他标准步骤，此后拒绝退还任何资金，直到他们知道如果没有他们的帮助，克拉肯虫可能会损失多少钱。

Perroco写道：“我们将此视为刑事案件，并与执法机构进行相应协调。”。“我们很感激有人报道了这个问题，但这种想法到此为止。”

Kraken目前面临美国证券交易委员会的诉讼，指控其全面违反证券法。一些报道还暗示，该公司正着眼于明年的首次公开募股。

由斯泰西·埃利奥特编辑。