领先的加密货币交易所Kraken的首席安全官Nick Percoco透露,一个未公开的白帽黑客组织拒绝归还价值约300万美元的数字资产,这些资产是他们利用平台系统中的一个漏洞从平台的金库中窃取的。
Percoco在一系列X帖子中表示,安全研究人员要求加密货币交易所提供一个推测的金额,如果他们在归还被盗资金之前没有披露漏洞,可能会损失多少钱。
据Percoco报道,一名安全研究人员于6月9日向Kraken发送了一个Bug Bounty程序警报,声称他们发现了一个“极其关键”的漏洞,该漏洞允许用户人为地在平台上夸大自己的平衡。虽然交易所对每天收到多份虚假的漏洞赏金报告持谨慎态度,但它认真对待这一说法,并组建了一个团队来调查这一问题。
该团队发现了一个漏洞,允许网络犯罪分子在Kraken上发起存款,并在未完成存款的情况下在其账户中接收资金。尽管该漏洞没有将客户资金置于风险之中,但攻击者可以在他们的账户中打印资产,并从Kraken的金库中提取资金。
该问题在识别后不到两个小时就得到了控制。团队发现该漏洞源于Kraken最新用户体验(UX)中的一个缺陷。经过进一步调查,Kraken发现有三个账户已经利用了这个漏洞。其中一个帐户链接到一个自称是安全研究员的用户。
事实证明,研究人员首先发现了这个漏洞,并利用它将4美元的加密货币记入他们的Kraken账户,而不是向适当的团队提交漏洞奖励报告,他通知了他的两位同事,他们利用这个漏洞获得了更大的金额。他们总共从账户中提取了大约300万美元的加密货币。
当Kraken联系安全研究人员,要求了解他们的活动并归还他们提取的资产时,他们拒绝了。他们称Kraken不合理且不专业,并要求平台提供漏洞可能造成的估计损害。
Percoco表示,Kraken已向执法机构提起此案,因为这是一起勒索案。
Percoco表示:“我们将此视为刑事案件,并与执法机构进行相应协调。我们很感激有人报道了这一问题,但这就是我们的想法结束的地方。”。