2024年6月9日,著名加密货币交易所Kraken收到了一份令人震惊的Bug Bounty报告。该报告由一名安全研究人员提交,声称发现了一个“极其关键”的漏洞,导致余额膨胀。然而,最初看似例行的漏洞报告很快变成了勒索企图。
在调查漏洞报告时,由Kraken首席安全官Nick Percoco领导的团队发现了一个价值300万美元的漏洞。具体来说,这位高管在6月19日发布的X(前身为推特)上的一条帖子中谈到了整个情况。
值得注意的是,调查显示,三个账户在几天内相继利用了报告的漏洞。其中一个账户属于一名自称是安全研究员的个人。从本质上讲,这个人发现并利用这个漏洞将4美元的加密货币记入他们的账户。
Perococo称这足以证明缺陷,并通过Kraken的Bug Bounty计划获得可观的奖励。然而,在注意到另外两个账户后,事情迅速升级,据称这两个账户受益于第一人称的披露。
“相反,‘安全研究人员’向他们合作的另外两个人披露了这个漏洞,这两个人欺诈性地产生了更大的金额。他们最终从Kraken账户中提取了近300万美元。这些资金来自Kraken的金库,而不是其他客户资产。”-Nick Percoco从错误报告到勒索企图
当Kraken要求全面说明他们的活动并归还提取的资金时,安全研究人员拒绝了,并要求与他们的业务开发团队通话,这被Percoco称为敲诈勒索。
此外,首席安全办公室解释说,Kraken的Bug Bounty计划实施了近十年,有明确的规则。特别地:
“不要利用超过必要的漏洞来证明漏洞,提供概念证明,并立即归还任何提取的资金。”据该交易所的高管称,合法的研究人员从未遇到过Kraken的问题,而Kraken一直都是反应灵敏的。
为了提高透明度,该公司向行业披露了该漏洞,并与执法机构协调,将该事件视为刑事案件。该交易所强调,无视漏洞奖励计划规则并试图勒索该公司将吊销研究人员的“黑客许可证”,使他们成为罪犯。
Kraken的漏洞调查
此外,Nick Percoco透露,该交易所定期收到虚假的窃听器赏金报告。尽管如此,Kraken还是认真对待这份报告,并迅速组建了一个小组进行调查。几分钟内,他们发现了一个孤立的漏洞,在特定情况下,恶意攻击者可以在未完全完成交易的情况下启动存款并接收资金。
“需要明确的是,没有任何客户的资产面临风险。然而,恶意攻击者可以在一段时间内有效地在他们的Kraken账户中打印资产。”-Nick Percoco据Percoco报道,Kraken的团队在1小时47分钟内解决了这个问题。该漏洞在几个小时内被完全修复,确保其不会再次出现。该缺陷源于最近的一次用户体验(UX)更改,该更改在客户账户的资产清理之前将其记入贷方,从而实现实时交易。
“这一变化没有针对特定的攻击向量进行彻底测试”——Nick Percoco尽管有这种孤立的经历,Kraken仍然致力于其Bug Bounty计划,认识到其在增强加密生态系统整体安全方面的重要性。该交易所期待着在未来与善意的行为者合作,同时采取反对不道德行为的立场。