Kraken公司周四透露,该公司最近修补了一个漏洞,该漏洞允许平台用户连续数月在账户中变出免费资金。
首席安全官尼克·佩罗科在推特上发帖称,他的团队本月早些时候发现了一个“孤立的漏洞”,让客户“人为地夸大他们的余额”。该团队是在6月9日收到一名安全研究人员发出的漏洞奖励计划警报后才发现的,该警报声称他们在系统中发现了“极其严重的漏洞”。
Kraken通信主管Alexander Cassells在给Decrypt的一封电子邮件中表示:“该功能于1月份在平台上出现。”。
根据Percoco的说法,用户可以向Kraken发起存款,并在存款实际完成之前将资金贷记到他们的账户中。
他写道:“恶意攻击者可以在一段时间内有效地在他们的Kraken账户中打印资产。”。
其他加密货币交易所也出现了类似的漏洞。早在2020年,加拿大加密货币交易所Coinberry的一个软件故障导致500多名用户从交易所窃取了300万美元的比特币,他们启动了向平台的即时电子转账,让自己的账户入账,然后在存款最终确定前取消存款。
理论上,用户可以将交易所合法的比特币提取回他们控制的钱包。由于链上比特币提款是不可逆转的,此类故障可能会给受影响的公司带来潜在的无法弥补的损失。
卡塞尔斯在谈到Kraken的漏洞时说:“这不是一个任何人都可以利用的简单的日常漏洞。”该漏洞在发现后数小时内就被修复了。“需要大量的链上边缘案例专业知识才能发现,直到最近才有人发现这个问题,这一事实证明了这一点。”
值得庆幸的是,在那段时间里,除了通知Kraken这个问题的研究人员和第一个通知的另外两名研究人员之外,没有人真正利用过这个漏洞。
然而,尽管提交漏洞赏金报告的人用它来贷记他们的钱包4美元,Perroco说,另外两名研究人员从他们的Kraken账户中欺诈性地提取了近300万美元,损失由Kraken的财政部承担。
Perroco说,最初的漏洞赏金报告没有披露更大的交易。研究人员还拒绝遵循克拉肯虫赏金程序的其他标准步骤,此后拒绝退还任何资金,直到他们知道如果没有他们的帮助,克拉肯虫可能会损失多少钱。
Perroco写道:“我们将此视为刑事案件,并与执法机构进行相应协调。”。“我们很感激有人报道了这个问题,但这种想法到此为止。”
Kraken目前面临美国证券交易委员会的诉讼,指控其全面违反证券法。一些报道还暗示,该公司正着眼于明年的首次公开募股。
由斯泰西·埃利奥特编辑。
