时间:2024-06-22|浏览:240
结论
Kraken 发现了一个漏洞,该漏洞允许用户人为地增加其余额并在未完成存款的情况下提取资金。
区块链安全公司 CertiK 自称是利用该漏洞从 Kraken 国库中提取近 300 万美元的“安全研究员”。
Kraken 声称 CertiK 拒绝退还资金,直到交易所提供潜在损失的估计,称其为“敲诈勒索”。
CertiK 为自己的行为进行辩护,称其正在测试漏洞的范围,并且 Kraken 曾威胁其员工在不合理的时间内退还不匹配的资金。
该事件引发了加密货币行业关于白帽黑客和漏洞赏金计划的道德问题的争论。
加密货币交易所 Kraken 最近透露,该公司受到安全漏洞的影响,该漏洞允许用户人为增加账户余额并在未完成存款的情况下提取资金。该交易所报告称,由于该漏洞,其金库被盗取了近 300 万美元。
区块链安全公司 CertiK 站出来承认自己是利用该漏洞并提取资金的“安全研究员”。
Kraken 首席安全官 Nick Percoco 此前曾指责当时未透露姓名的安全团队“敲诈勒索”,因为他们拒绝退还资金,直到交易所提供如果该漏洞未披露将造成的潜在损失的估计值。
Kraken 安全更新:
2024 年 6 月 9 日,我们收到了一名安全研究人员发来的 Bug Bounty 计划警报。最初没有透露具体细节,但他们在电子邮件中声称发现了一个“极其严重”的漏洞,该漏洞使他们能够人为地增加我们平台上的余额。
— Nick Percoco (@c7five) 2024 年 6 月 19 日
然而,CertiK 为自己的行为进行了辩护,声称它一直在测试漏洞的范围,并且 Kraken 威胁其员工在不合理的时间内退还不匹配的资金,甚至没有提供还款地址。
CertiK 最近在 @krakenfx 交易所中发现了一系列严重漏洞,可能会导致数亿美元的损失。
从@krakenfx 存款系统中发现的问题开始,它可能无法区分不同的内部......pic.twitter.com/JZkMXj2ZCD
— CertiK (@CertiK) 2024 年 6 月 19 日
该安全公司提供了事件时间表,详细说明了其与 Kraken 的互动以及漏洞的发现。
据 CertiK 称,该漏洞允许数百万美元存入任何 Kraken 账户,并能够提取伪造的加密货币并将其转换为有效的加密货币。
该公司还声称,在其多日的测试期间没有触发任何警报,而 Kraken 仅在首次披露后几天才做出回应并锁定了测试账户。
该事件引发了关于白帽黑客道德问题和漏洞赏金计划有效性的争论。
虽然一些人认为 CertiK 的行为是为了彻底测试漏洞而采取的合理行动,但另一些人认为,该公司提取如此大笔资金并拒绝及时归还已经越界了。
Kraken 坚称 CertiK 的行为不符合白帽黑客的原则,并表示正在与执法机构合作追回资产。该交易所还强调,用户资金没有受到此次攻击的影响,因为被盗资金来自 Kraken 自己的金库。
文章《漏洞赏金计划出错:Kraken 指控 CertiK 敲诈勒索,CertiK 为其行为辩护》首先出现在 Blockonomi 上。