据称研究人员从KRAKEN EXCHANGE窃取了300万美元

Kraken 首席安全官 Nick Percoco 透露，所谓的安全研究人员利用零日漏洞窃取了价值 300 万美元的加密货币。研究人员拒绝归还被盗资金。

Kraken 安全更新：

2024 年 6 月 9 日，我们收到了来自安全研究人员的漏洞赏金计划警报。最初没有透露任何细节，但他们的电子邮件声称发现了一个“极其关键”的错误，使他们能够人为地夸大我们平台上的余额。

— 尼克·佩尔科科 （@c7five） June 19， 2024

Percoco 透露，一名安全研究人员于 6 月 9 日向交易所报告了一个“极其严重”的错误。研究人员没有透露有关这些问题的技术细节，他们只是解释说，该漏洞允许任何人任意增加钱包中的余额。

“每天我们都会收到自称是”安全研究人员“的人的虚假漏洞赏金报告。对于运行漏洞赏金计划的任何人来说，这都不是什么新鲜事。然而，我们认真对待这个问题，并迅速组建了一个跨职能团队来深入研究这个问题。Percoco解释道。

Kraken 安全团队发现了“一个孤立的错误”，该漏洞允许攻击者在特定情况下向平台发起存款并在其账户中接收资金，而无需完全完成存款。

该公司指出，客户的资产没有风险，但是，攻击者可以在一段时间内有效地将资产打印到他们的Kraken帐户中。

安全团队在一小时内解决了该漏洞。该漏洞源于用户界面的最新变化，该更改将在客户资产清算之前立即记入客户账户，从而使客户能够实时有效地交易加密市场。

“此 UX 更改没有针对此特定攻击媒介进行彻底测试。”

在修补漏洞后，专家们发现三个帐户在几天内利用了该漏洞。其中一个帐户由一个自称是安全研究人员的个人验证。

取而代之的是，“安全研究员”将这个漏洞透露给了另外两个与他们合作的人，他们欺诈性地产生了更大的金额。他们最终从他们的Kraken账户中提取了近300万美元。这是来自Kraken的国库，而不是其他客户资产。

— 尼克·佩尔科科 （@c7five） June 19， 2024

“此 UX 更改没有针对此特定攻击媒介进行彻底测试。”

在修补漏洞后，专家们发现三个帐户在几天内利用了该漏洞。其中一个帐户由一个自称是安全研究人员的个人验证。

取而代之的是，“安全研究员”将这个漏洞透露给了另外两个与他们合作的人，他们欺诈性地产生了更大的金额。他们最终从他们的Kraken账户中提取了近300万美元。这是来自Kraken的国库，而不是其他客户资产。

— 尼克·佩尔科科 （@c7five） June 19， 2024

原文始发于微信公众号（黑猫安全）：据称研究人员从KRAKEN EXCHANGE窃取了300万美元