PANews 6月19日消息,根據Kraken 首席安全官Nick Percoco 在推特上披露,6月9日收到一名安全研究員的漏洞報告,聲稱發現一個「極其嚴重」的漏洞,可人為增加帳戶餘額。調查發現,最近的使用者體驗(UX)改變導致系統在存款未完成前提前記入資金,使攻擊者能虛增帳戶餘額。儘管客戶資產未受風險,但漏洞允許攻擊者在一段時間內「製造」資金。 Kraken 在約1小時(47分鐘)修復了該漏洞,並發現三個帳戶利用了該漏洞,從Kraken 金庫中提取了近300 萬美元,其中一個帳戶屬於最初報告漏洞的研究員。此人只增加了4 美元餘額,本來證明漏洞存在並獲賞金,但他將漏洞告知他人,後者提取了大量資金。 Kraken 要求他們提供完整活動記錄並退還資金,但遭到拒絕並試圖勒索。 Kraken 正與執法機構合作處理此事,Percoco 強調,合規的安全研究應遵守漏洞賞金計畫的規定,超出規則並勒索的行為不可接受。
Kraken在收到安全漏洞報告後仍遭利用並勒索,損失近300萬美元
コメント
おすすめ読書