• Kraken suffered a bug attack a bug that saw it lose almost $3 million less than two weeks ago.
• Anyone could initiate a deposit to the platform and receive the funds without completing it.
• Kraken treats the incident as a criminal case, commits to coordinate with law enforcement.

加密货币交易平台 Kraken 在不到两周前报告了一个漏洞 ， 在一次与错误相关的攻击中损失了近 300 万美元.

该事件凸显了继续困扰该行业的不安全感和脆弱性.

Kraken Lost $3 Million in a Bug Attack

Kraken 在 6 月 9 日透露了一次漏洞攻击 ， 看到这位坏演员偷走了近 300 万美元.根据 Kraken 首席安全官 Nick Percoco 分享的报告 ， 该交易所收到了漏洞赏金计划警报.

“2024 年 6 月 9 日 ， 我们收到了来自安全研究人员的 Bug Bounty 计划警报.最初没有透露具体细节 ， 但他们的电子邮件声称发现了一个 “非常关键 ” 的错误 ， 允许他们人为地在我们的平台上膨胀他们的平衡 ，“ Percoco 在周三的一篇文章中指出.

CSO 指出 ， 进一步的调查发现了一个孤立的错误 ， 该错误赋予了不良行为者不应有的特权.具体来说 ， 即使他们尚未完全完成存款 ， 他们也可以在 Kraken Exchange 上启动存款并在其帐户中接收资金.

阅读更多 ： Kraken Review 2024 ： 安全性和功能

法医分析显示 ， Kraken 平台上最近的 UX 更改存在漏洞.此漏洞允许恶意攻击者在一段时间内 “打印其帐户中的资产 ”.重要的是 ， 没有客户资产受到损害 ， 问题已经解决.然而 ， 随后的调查发现 ， 三个账户在几天内已经利用了这个漏洞。.

“修补风险后 ， 我们对情况进行了彻底调查 ， 并迅速发现 3 个帐户在几天之内相互利用了这一缺陷.当我们深入挖掘时 ， 我们注意到有一个账户是 KYC 给一个自称是安全研究人员的人的 ，"Percoco 说.

一名安全研究人员在 Kraken 的资金系统中发现了一个错误 ， 并将他们的账户记入 4 美元的加密货币.这笔金额足以证明该缺陷并提交错误赏金报告 ， 根据 Kraken 的计划 ， 该报告将获得可观的奖励.

相反 ， 研究人员与两名同事分享了这个错误 ， 他们利用它欺诈性地产生了更大的金额.这种串通导致了近 300 万美元的损失 ， 这些损失来自 Kraken 的国债 ， 而不是客户资产.

阅读更多 ： 加密安全中的五大缺陷以及如何避免它们

在加密交易平台试图从研究人员那里收回资金后 ， 这起事件最终导致了一起勒索案件。.Kraken 要求全面介绍研究人员的活动 ， 包括用于创建链上活动的概念证明以及归还提取资金的安排.

这些安全研究人员拒绝.相反 ， 他们要求与他们的业务开发团队打电话 ， 并没有同意退还任何资金 ， 直到我们提供一个推测的美元金额 ， 如果他们没有披露 ， 这个错误可能会导致.这不是白帽子黑客 ，这是敲诈 ！ ” Percoco 不满.

因此 ， Kraken 将该事件视为刑事案件 ， 致力于与执法部门进行协调.研究公司仍未披露.