2024年6月9日,著名加密货币交易所Kraken收到了一份令人震惊的Bug Bounty报告。该报告由一名安全研究人员提交,声称发现了一个“极其关键”的漏洞,导致余额膨胀。然而,最初看似例行的漏洞报告很快变成了勒索企图。
在调查漏洞报告时,由Kraken首席安全官Nick Percoco领导的团队发现了一个价值300万美元的漏洞。具体来说,这位高管在6月19日发布的X(前身为推特)上的一条帖子中谈到了整个情况。
值得注意的是,调查显示,三个账户在几天内相继利用了报告的漏洞。其中一个账户属于一名自称是安全研究员的个人。从本质上讲,这个人发现并利用这个漏洞将4美元的加密货币记入他们的账户。
Perococo称这足以证明缺陷,并通过Kraken的Bug Bounty计划获得可观的奖励。然而,在注意到另外两个账户后,事情迅速升级,据称这两个账户受益于第一人称的披露。
“相反,‘安全研究人员’向他们合作的另外两个人披露了这个漏洞,这两个人欺诈性地产生了更大的金额。他们最终从Kraken账户中提取了近300万美元。这些资金来自Kraken的金库,而不是其他客户资产。”-Nick Percoco当Kraken要求全面说明他们的活动并归还提取的资金时,安全研究人员拒绝了,并要求与他们的业务开发团队通话,这被Percoco称为敲诈勒索。
此外,首席安全办公室解释说,Kraken的Bug Bounty计划实施了近十年,有明确的规则。特别地:
“不要利用超过必要的漏洞来证明漏洞,提供概念证明,并立即归还任何提取的资金。”据该交易所的高管称,合法的研究人员从未遇到过Kraken的问题,而Kraken一直都是反应灵敏的。
为了提高透明度,该公司向行业披露了该漏洞,并与执法机构协调,将该事件视为刑事案件。该交易所强调,无视漏洞奖励计划规则并试图勒索该公司将吊销研究人员的“黑客许可证”,使他们成为罪犯。
此外,Nick Percoco透露,该交易所定期收到虚假的窃听器赏金报告。尽管如此,Kraken还是认真对待这份报告,并迅速组建了一个小组进行调查。几分钟内,他们发现了一个孤立的漏洞,在特定情况下,恶意攻击者可以在未完全完成交易的情况下启动存款并接收资金。
“需要明确的是,没有任何客户的资产面临风险。然而,恶意攻击者可以在一段时间内有效地在他们的Kraken账户中打印资产。”-Nick Percoco据Percoco报道,Kraken的团队在1小时47分钟内解决了这个问题。该漏洞在几个小时内被完全修复,确保其不会再次出现。该缺陷源于最近的一次用户体验(UX)更改,该更改在客户账户的资产清理之前将其记入贷方,从而实现实时交易。
“这一变化没有针对特定的攻击向量进行彻底测试”——Nick Percoco尽管有这种孤立的经历,Kraken仍然致力于其Bug Bounty计划,认识到其在增强加密生态系统整体安全方面的重要性。该交易所期待着在未来与善意的行为者合作,同时采取反对不道德行为的立场。
1 10家TON投资机构战绩盘点:最低建仓成本低于0.78美元 最高回报率或超14倍
作者:Nancy,PANews沉浮多年、几经波折,如今TON已跻身加密市值前十,用户体量、资金规模以及代币价格的高歌猛进,使其成为本轮牛市发展势头较为强劲的加密项目之一。TON实现“千里马”蜕变背后离不开“伯乐”的慧眼。据CoinCarp数据显示,TON迄今完成了七轮融资,但仅公开披露其中2轮1600万美元的投资,剩余五轮并未对外公布更多信息。其中,从投资机构来看,参投机构包括Runa Capit
2 美国证券交易委员会将Binance作为诉讼目标,尽管存在不确定性,但BNB仍上涨
杰克逊法官驳回了美国证券交易委员会关于币安币二次销售符合证券资格的指控。然而,她允许美国证券交易委员会追查与币安的BNB质押计划有关的索赔。 在周五晚些时候发布的一项裁决中,一名联邦法官允许美国证券交易委员会(SEC)对全球最大的加密货币交易所币安(BNB)提起的大部分诉讼继续进行。 法官的命令 哥伦比亚特区地方法院法官艾米·贝曼·杰克逊发布了一项裁决,允许美国证券交易委员会对币安的大部分指控继续
3 韦伯AI量化聚合平台 筹备开启全球个人投资者业务及积极拓展亚太地区市场
韦伯AI量化,一家专注于将前沿的人工智能技术应用于量化投资的创新平台,由首轮资本、指数创投、硅谷天使投资基金和极微资本联手打造,创投基金累计投资规模超过2000万美元。韦伯AI量化通过AI和区块链技术,革新金融投资模式,韦伯AI量化聚合平台是韦伯信托基金旗下的全球私人业务平台,拥有美国MSB数字货币牌照,发行WEBB代币公平分配收益,推动金融生态的可持续发展。韦伯AI量化目前在澳大利亚、俄罗斯、西
4 2024年,Arbitrum和Optimism的混合包——为什么?
Arbitrum和Optimism在新的一年里看到了更多的交易。截至发稿时,ARB和OP呈熊市。 根据现有数据,以太坊[ETH]的两个著名的第二层扩展解决方案Arbitrum[ARB]和Optimism[OP]今年的交易活动有所增加。 尽管交易量呈积极趋势,但最近几天,两家电视网的锁定总价值(TVL)都有所下降。此外,他们的原生代币的价值也有所下降。 Arbitrum和Optimism看到交易增加
创建空投活动比大多数公司意识到的要多得多。空投不仅仅是与新用户共享免费代币,还可以宣传新的加密项目。它们延伸到使公司目标与空投战略保持一致,并接触到更多的受众,以保持他们对项目的兴趣。 论文驱动的加密风险投资基金Node capital与CryptoPotato分享了一份新闻稿,概述了公司可以用来最大限度地开展空投活动的策略。 有效空投的策略 Node澄清说,空投并不是无风险的促销活动。虽然它们可
作者:Dante Disparte来源:coindesk 翻译:善欧巴,周日,欧盟具有里程碑意义的综合数字资产监管法第一波将生效。借助加密资产监管市场框架,欧洲成功做到了包括美国在内的其他司法管辖区仍在避免的事情:不仅为数字资产市场的一部分,而是为整个市场提供法律和监管明确性。受大型科技公司(如 Meta 的 Diem(前身为 Libra)计划)进入金融市场的推动,或出于对不受控制的加密货币的担忧
7 Metamask遭SEC起诉 Web3将何去何从? | TrendX研究院
正当大家还在关注SEC(美国证权交易委员会)对ETH ETF的最终表态时,SEC突如其来的的一手,在6月29日对区块链技术公司,同时也是Metamask母公司的Consensys提正式起诉讼,指控MetaMask 的Swap 和质押产品涉嫌违反证券法,并点名Lido、Rocket Pool 的流动性质押代币stETH 和rETH 是未注册“证券”。该消息一出,在行业引起轩然大波,根据TrendX情
本周,重点关注加密货币的关键发展,包括宏观经济更新和影响altcoins的重大事件。在前一周的表现中,比特币的跌幅低于预期,而altcoins的跌幅更大。投资者很想知道7月1日至7月7日可能对市场产生的影响。 内容隐藏了1个要观看的重大事件?2宏观经济变化将如何影响加密货币?2.1投资者的关键见解 要观看的重大活动? 宏观经济因素、关键解锁和特定于altcoins的公告可以在很大
9 如果Spot Solana ETF获得批准,请期待SOL的价格!
21Shares在追求Spot Solana ETF方面领先VanEck。如果申请通过,预计Solana资金流入将激增 索拉纳[SOL]过去几年的市场表现最近引起了许多华尔街机构的关注。因此,他们中的一些人现在非常热衷于现货索拉纳ETF的想法也就不足为奇了。 21股票进场 为了利用对SOL日益增长的兴趣,瑞士资产管理公司21Shares已申请在美国上市Solana ETF。该申请紧跟其竞争对手Va
FET在过去48小时内下跌了20%以上。图表上闪烁着混合信号 FET在不到48小时的时间里急剧下降了20%以上。这一突然的价格下跌让投资者好奇地想了解其影响和FET的下一步可能行动。然而,在这一突然下跌之前,FET在图表上的表现令人印象深刻。 自重新测试历史最低点以来,该指数已飙升约73%。然而,其最新的价格行动已经抹去了这些涨幅的很大一部分。不用说,这种突然的反转引发了对市场情绪和基本面的质疑。
