PANews 6月19日消息,据 Kraken 首席安全官 Nick Percoco 在推特上披露,6月9日收到一名安全研究员的漏洞报告,声称发现一个“极其严重”的漏洞,可人为增加账户余额。调查发现,最近的用户体验(UX)改动导致系统在存款未完成前提前记入资金,使攻击者能虚增账户余额。尽管客户资产未受风险,但漏洞允许攻击者在一段时间内“制造”资金。Kraken 在约1小时(47分钟)修复了该漏洞,并发现三个账户利用了该漏洞,从 Kraken 金库中提取了近 300 万美元,其中一个账户属于最初报告漏洞的研究员。此人只增加了 4 美元余额,本可证明漏洞存在并获赏金,但他将漏洞告知他人,后者提取了大量资金。Kraken 要求他们提供完整活动记录并退还资金,但遭到拒绝并试图勒索。Kraken 正与执法机构合作处理此事,Percoco 强调,合规的安全研究应遵守漏洞赏金计划的规定,超出规则并勒索的行为不可接受。
Kraken在收到安全漏洞报告后仍遭利用并勒索,损失近300万美元
评论
推荐阅读