美国知名加密货币交易所 Kraken 近日遭遇重大安全漏洞,导致至少价值 300 万美元的数位资产被盗。然而,Kraken 强调用户资金并未受到威胁。(更新:Certik 已全数归还资金)
Table of Contents
某研究团队持有 Kraken 300 万美元资产
Kraken 公布,一个研究团队发现了交易所的一个重大安全漏洞,并因此持有了价值 300 万美元的数位资产。这一漏洞最早于 6 月 9 日被一位匿名的自称「安全研究员」发现并通知了 Kraken。
漏洞被利用 300 万美元资金被盗
然而,Kraken 的资安长 Nick Percoco 表示,该研究员相关的两个帐户利用这一漏洞提取了超过 300 万美元的数位资产。Percoco 表示:
「他们要求与业务团队通话,并且在我们提供预计漏洞可能造成的损失金额之前,拒绝归还任何资金。这不是白帽骇客行为,而是勒索!」
用户资金未受威胁
Kraken 强调,这些被盗的加密货币是从 Kraken 自身的资金库中被盗的,用户资金并未受到威胁。
Kraken 的回应:这不是白帽骇客行为
在此次事件中,与漏洞有关的三个 Kraken 帐户之一曾经通过 KYC 验证,该帐户的所有者声称自己是一名安全研究员,但其身份尚未公开。这名研究员最初透过一次价值 4 美元的加密货币转帐证明了漏洞,这已足以让他从 Kraken 的漏洞赏金计划中获得「可观的奖励」。
然而,这名研究员将漏洞告知了其他两个帐户,这两个帐户不当提取了接近 300 万美元的资金。Kraken 的资安长 Nick Percoco 表示:
「为了透明,我们今天向业界披露这个漏洞。我们要求这些『白帽骇客』归还他们从我们这里偷走的东西,却被指责不合理和不专业。难以置信。」
资安团队 Certik 反击:遭受 Kraken 威胁
资安团队 CertiK 看起来是这场争端的主角,而它也反控遭到 Kraken 威胁。
Kraken 重大安全漏洞
CertiK 表示,调查始于对 Kraken 存款系统的重要发现。CertiK 的团队发现该系统可能无法区分不同的内部转帐状态。这促使了围绕三个关键问题的全面检查:
- 恶意行为者是否可以伪造一笔存款交易到Kraken帐户?
- 恶意行为者是否可以提取伪造的资金?
- 大额提现请求可能会触发哪些风险控制和资产保护措施?
调查结果令人震惊。Kraken在这三项测试中全部失败,显示其深度防御系统在多方面被攻破。
伪造交易和未授权提现
调查显示,数百万美元可以被伪造地存入任何 Kraken 帐户。更令人担忧的是,价值超过 100 万美元的伪造加密货币可以从该帐户提取,并转换为合法的加密资产。在多日测试期间,未触发任何警报。Kraken 仅在 CertiK 正式报告事件后数天,才采取行动并锁定测试帐户。
Kraken 的回应与后续行动
在收到 CertiK 的报告后,Kraken 的安全团队将该问题定义为「严重」,即最高严重级别。虽然最初在识别和修复漏洞方面的对话看似成功,但情况很快恶化。Kraken 的安全运营团队威胁 CertiK 的个别员工,要求在不合理的时间内归还一笔数量不对的加密货币,且未提供任何还款地址。
CertiK 敦促 Kraken 停止对白帽骇客的恐吓行为,强调在解决安全风险和保护去中心化金融未来方面进行合作的重要性。
(资安公司 Certik 勒索兼盗币?Kraken 气炸,网评:早已素行不良)