Kraken的漏洞导致了300万美元的盗窃,引发了对安全措施的争议。CertiK批评了Kraken在漏洞后的还款要求,增加了交易所的不确定性。
在一个意想不到的转折中,领先的加密货币交易所Kraken于6月19日透露,它已经处理了一个漏洞,该漏洞允许用户在其账户中生成免费货币数月。
在一名安全研究人员提醒Kraken他们的系统中存在“极其严重的漏洞”后,这个问题才被曝光。
这个漏洞导致至少300万美元的数字资产被提取,成为头条新闻。Kraken的首席安全官Nicholas Percoco在评论这一情况时,在X(前身为推特)上指出,
尽管发生了这一事件,该公司声称“没有任何客户的资产面临风险”。Percoco进一步解释说,用户可以通过发起存款将资金贷记到他们的Kraken账户,而无需实际完成存款过程。他说,
“恶意攻击者可以在一段时间内有效地在他们的Kraken帐户中打印资产。”“安全研究人员”利用该漏洞将4美元的加密货币记入他们的账户,这足以报告该漏洞并获得奖励。
但研究人员没有报告这个缺陷,而是与两名同事分享了这个缺陷,他们从Kraken公司提取了近300万美元。
Kraken声称,为了解决用户对该问题的担忧,
“这是来自Kraken的国债,而不是其他客户资产。”不用说,当Kraken要求研究人员退还这笔钱并提供详细信息时,他们拒绝合作,这是bug赏金计划的标准做法。
对此,Percoco回应称,
Kraken的CSO对此表示失望,他说,
“我们要求‘白帽黑客’归还他们从我们这里偷走的东西,被指责为不合理和不专业。难以置信。”然而,当区块链安全公司CertiK上市,自称“安全研究员”时,事情实际上升级了。他们说,
“在识别和修复漏洞的初步成功转换后,Kraken的安全运营团队威胁个别CertiK员工在不合理的时间内偿还不匹配的加密货币,即使没有提供还款地址。”这遭到了最初的批评,正如Rotkiapp创始人Lefteris Karapetsas所强调的那样,他说,
但鉴于CertiK在漏洞识别方面的记录,交易所的结果仍不确定。