Kraken揭示了Bug允许流氓“安全研究人员”利用300万美元

提取300万美元后。研究人员开始要求增加漏洞赏金计划下发现的漏洞的奖励,并勒索只有在这种情况下交易所才能收回资金

Kraken揭示了Bug允许流氓“安全研究人员”利用300万美元

基于美国的交易所 Kraken 在其平台上发现了一个缺陷,这使得它丢失了近300万美元。该缺陷是由一家未经透露的安全公司利用的。该公司已拒绝将资金还给 Kraken,并要求获得更高的报酬作为奖励。

在此事件的回应中,Kraken已向法律机构提出案件,并将其视为犯罪行为。不过,用户们可以放心,因为交易所声称已经修复了这个漏洞,并且没有用户账户受到影响。\nKraken 的缺陷可以让人印制钞票

根据Percoco的说明,一名安全研究人员通过 Kraken 的 Bug Bounty 项目向该交易所报告了一个重要的缺陷,这是在6月9日发生的。在内部调查后,交易所的安全团队发现了一个漏洞,这使得一个坏的攻击者能够在他们的 Kraken 账户上开始一次存款,而不需要完成存款。通过这种漏洞,一个恶意攻击者可以从虚无中印制出数百万美元。

他解释道:“我们发现了一个孤立的缺陷。这使得一个恶意攻击者,在合适的情况下,能够在我们的平台上开始一次存款,并在他们的账户中收到资金,而不需要完成存款。”

交易所的内部安全团队在47分钟内修复了问题,并在几个小时后完全解决了这个问题。不过,该公司发现这个缺陷是由于最近的一个UI变化引起的,这使得客户账户在资产未清算前就可以被冲印。尽管这个变化是为了启动实时交易,但却没有对这种风险进行测试。\n\n不过Percoco补充说,这个事件并没有影响用户的资产,只是漏洞的滥用仅仅影响了 Kraken 的资金。

对于这个漏洞的分析表明,三个账户利用了这个漏洞,其中之一是由那位先前与交易所联系的安全研究人员注册的账户。\n\nKraken 解释说,它试图将资金还回来的努力都失败了,因为这些研究人员现在正在要求一个更高的报酬,他们认为这个报酬是与缺陷的风险相当的。

Percoco描述这种行为为敲诈行为,这与 Bug Bounty 项目的原则相矛盾。他补充说,违反这些规则,使得白帽盗童获得了执行权,这使得这些研究人员成为罪犯,交易所将对他们采取相应的行动。

Read More