admin
全球领先的加密货币交易平台Kraken最近承认遭到了一次攻击,攻击者成功利用了一个零日漏洞窃取了价值数百万的加密货币。
这个漏洞是由Bug赏金研究人员在2024年6月9日给Kraken发送的一封电子邮件中披露的,他提醒Kraken网络存在一个严重的漏洞。Kraken的首席安全官尼克·佩尔科解释说,这个漏洞使攻击者能够操纵网站上的资产负债表数据,使其达到实际资金不支持的水平。
这个关键性的漏洞使攻击者能够在完成存款过程之前就可以在自己的账户中存款和提取资金。
Kraken能够在47分钟内回应警报并消除安全问题。问题追溯到一段时间前引入的一个新用户界面,允许客户在存款被清算机构确认之前就可以使用这笔钱。
尽管Kraken表示在渗透期间没有客户资金丢失,但这个漏洞使恶意人士有可能存入和提取虚假资金。
在这种情况下,有三个账户在一周内开始尝试相同的操作,他们都试图从交易所转出300万美元。其中一个账户是最近报告了这个漏洞的安全研究人员的账户。
对于第一个被发现的漏洞,佩尔科评论说,一个试图利用它的人投资了4美元的加密货币来说明问题,这足以作为一个Bug赏金报告和随后的奖励。然而,这位研究人员决定将漏洞细节提供给另外两名参与者,他们一起从Kraken的资金库中窃取了近300万美元。
道德困境还是敲诈勒索?
当Kraken找到这些人要求归还被盗资产并提供一个概念证明的攻击时,这些研究人员要求支付费用作为资产归还的交换条件。佩尔科谴责这种行为为敲诈勒索,强调这违反了白帽黑客的道德原则。
Kraken将这起事件视为刑事案件,并与执法机构进行协调。
此外还阅读:
令人震惊:加密货币“屠宰猪”骗局的增加!你应该知道的事情
标签
黑客攻击
