美国知名加密货币交易所Kraken最近遭遇了一次重大的安全漏洞,导致至少价值300万美元的数字资产被盗。然而,Kraken强调用户资金并未受到威胁。
某研究团队持有Kraken 300 万美元资产
据报道,一支研究团队发现了Kraken交易所的一个重大安全漏洞,并因此持有了价值300万美元的数字资产。这个漏洞最早于6月9日被一位匿名自称为”安全研究员”的人发现,并通知了Kraken。
漏洞被利用 300 万美元资金被盗
然而,Kraken的安全长Nick Percoco表示,该研究员相关的两个账户利用这一漏洞提取了超过300万美元的数字资产。Percoco表示:”他们要求与业务团队通话,并且在我们提供预计漏洞可能造成的损失金额之前,拒绝归还任何资金。这不是白帽黑客行为,而是勒索!”
用户资金未受威胁
Kraken强调,这些被盗的加密货币是从Kraken自身的资金库中被盗的,用户资金并未受到威胁。
Kraken的回应:这不是白帽黑客行为
在此次事件中,与漏洞有关的三个Kraken账户之一曾经通过KYC验证,该账户的所有者声称自己是一名安全研究员,但其身份尚未公开。这名研究员最初通过一次价值4美元的加密货币转账证明了漏洞,这已足以让他从Kraken的漏洞赏金计划中获得”可观的奖励”。
然而,这名研究员将漏洞告知了其他两个账户,这两个账户不当提取了接近300万美元的资金。Kraken的安全长Nick Percoco表示:”为了透明,我们今天向业界披露了这个漏洞。我们要求这些’白帽黑客’归还他们从我们这里偷走的东西,却被指责不合理和不专业。难以置信。”
资安团队CertiK反击:遭受Kraken威胁
看起来,资安团队CertiK是这次争端的主角,而它也反控遭到Kraken威胁。CertiK表示,调查始于对Kraken存款系统的重要发现。CertiK的团队发现该系统可能无法区分不同的内部转账状态。这促使了围绕三个关键问题的全面检查:恶意行为者是否可以伪造一笔存款交易到Kraken账户?恶意行为者是否可以提取伪造的资金?大额提现请求可能会触发哪些风险控制和资产保护措施?
调查结果令人震惊。Kraken在这三项测试中全部失败,显示其深度防御系统在多方面被攻破。调查显示,数百万美元可以被伪造地存入任何Kraken账户。更令人担忧的是,价值超过100万美元的伪造加密货币可以从该账户提取,并转换为合法的加密资产。在多日测试期间,未触发任何警报。Kraken仅在CertiK正式报告事件后数天,才采取行动并锁定测试账户。
在收到CertiK的报告后,Kraken的安全团队将该问题定义为”严重”,即最高严重级别。虽然最初在识别和修复漏洞方面的对话看似成功,但情况很快恶化。Kraken的安全运营团队威胁CertiK的个别员工,要求在不合理的时间内归还一笔数量不对的加密货币,并未提供任何还款地址。
CertiK敦促Kraken停止对白帽黑客的恐吓行为,强调在解决安全风险和保护去中心化金融未来方面进行合作的重要性。