Kraken加密货币交易所面临安全研究人员的勒索企图

2024年6月9日，著名加密货币交易所Kraken收到了一份令人震惊的Bug Bounty报告。该报告由一名安全研究人员提交，声称发现了一个“极其关键”的漏洞，导致余额膨胀。然而，最初看似例行的漏洞报告很快变成了勒索企图。

在调查漏洞报告时，由Kraken首席安全官Nick Percoco领导的团队发现了一个价值300万美元的漏洞。具体来说，这位高管在6月19日发布的X（前身为推特）上的一条帖子中谈到了整个情况。

值得注意的是，调查显示，三个账户在几天内相继利用了报告的漏洞。其中一个账户属于一名自称是安全研究员的个人。从本质上讲，这个人发现并利用这个漏洞将4美元的加密货币记入他们的账户。

Perococo称这足以证明缺陷，并通过Kraken的Bug Bounty计划获得可观的奖励。然而，在注意到另外两个账户后，事情迅速升级，据称这两个账户受益于第一人称的披露。

“相反，‘安全研究人员’向他们合作的另外两个人披露了这个漏洞，这两个人欺诈性地产生了更大的金额。他们最终从Kraken账户中提取了近300万美元。这些资金来自Kraken的金库，而不是其他客户资产。”-Nick Percoco

从错误报告到勒索企图

当Kraken要求全面说明他们的活动并归还提取的资金时，安全研究人员拒绝了，并要求与他们的业务开发团队通话，这被Percoco称为敲诈勒索。

此外，首席安全办公室解释说，Kraken的Bug Bounty计划实施了近十年，有明确的规则。特别地：

“不要利用超过必要的漏洞来证明漏洞，提供概念证明，并立即归还任何提取的资金。”

据该交易所的高管称，合法的研究人员从未遇到过Kraken的问题，而Kraken一直都是反应灵敏的。

为了提高透明度，该公司向行业披露了该漏洞，并与执法机构协调，将该事件视为刑事案件。该交易所强调，无视漏洞奖励计划规则并试图勒索该公司将吊销研究人员的“黑客许可证”，使他们成为罪犯。

Kraken的漏洞调查

此外，Nick Percoco透露，该交易所定期收到虚假的窃听器赏金报告。尽管如此，Kraken还是认真对待这份报告，并迅速组建了一个小组进行调查。几分钟内，他们发现了一个孤立的漏洞，在特定情况下，恶意攻击者可以在未完全完成交易的情况下启动存款并接收资金。

“需要明确的是，没有任何客户的资产面临风险。然而，恶意攻击者可以在一段时间内有效地在他们的Kraken账户中打印资产。”-Nick Percoco

据Percoco报道，Kraken的团队在1小时47分钟内解决了这个问题。该漏洞在几个小时内被完全修复，确保其不会再次出现。该缺陷源于最近的一次用户体验（UX）更改，该更改在客户账户的资产清理之前将其记入贷方，从而实现实时交易。

“这一变化没有针对特定的攻击向量进行彻底测试”——Nick Percoco

尽管有这种孤立的经历，Kraken仍然致力于其Bug Bounty计划，认识到其在增强加密生态系统整体安全方面的重要性。该交易所期待着在未来与善意的行为者合作，同时采取反对不道德行为的立场。