Kraken揭示了Bug允许流氓“安全研究人员”利用300万美元

基于美国的交易所 Kraken 在其平台上发现了一个缺陷，这使得它丢失了近300万美元。该缺陷是由一家未经透露的安全公司利用的。该公司已拒绝将资金还给 Kraken，并要求获得更高的报酬作为奖励。

在此事件的回应中，Kraken已向法律机构提出案件，并将其视为犯罪行为。不过，用户们可以放心，因为交易所声称已经修复了这个漏洞，并且没有用户账户受到影响。\nKraken 的缺陷可以让人印制钞票

根据Percoco的说明，一名安全研究人员通过 Kraken 的 Bug Bounty 项目向该交易所报告了一个重要的缺陷，这是在6月9日发生的。在内部调查后，交易所的安全团队发现了一个漏洞，这使得一个坏的攻击者能够在他们的 Kraken 账户上开始一次存款，而不需要完成存款。通过这种漏洞，一个恶意攻击者可以从虚无中印制出数百万美元。

他解释道：“我们发现了一个孤立的缺陷。这使得一个恶意攻击者，在合适的情况下，能够在我们的平台上开始一次存款，并在他们的账户中收到资金，而不需要完成存款。”

交易所的内部安全团队在47分钟内修复了问题，并在几个小时后完全解决了这个问题。不过，该公司发现这个缺陷是由于最近的一个UI变化引起的，这使得客户账户在资产未清算前就可以被冲印。尽管这个变化是为了启动实时交易，但却没有对这种风险进行测试。\n\n不过Percoco补充说，这个事件并没有影响用户的资产，只是漏洞的滥用仅仅影响了 Kraken 的资金。

对于这个漏洞的分析表明，三个账户利用了这个漏洞，其中之一是由那位先前与交易所联系的安全研究人员注册的账户。\n\nKraken 解释说，它试图将资金还回来的努力都失败了，因为这些研究人员现在正在要求一个更高的报酬，他们认为这个报酬是与缺陷的风险相当的。

Percoco描述这种行为为敲诈行为，这与 Bug Bounty 项目的原则相矛盾。他补充说，违反这些规则，使得白帽盗童获得了执行权，这使得这些研究人员成为罪犯，交易所将对他们采取相应的行动。