2024年6月9日,知名加密貨幣交易所Kraken收到了一份引人注目的Bug獎勵報告。這份報告是由一位安全研究人員提交的,聲稱發現了一個“極其嚴重”的漏洞,可以通過通貨膨脹進行資金增值。然而,最初看起來像是一份常規性漏洞報告的調查很快就變成了一次敲詐企圖。
在調查漏洞報告時,由Kraken的首席安全官尼克·佩爾科科(Nick Percoco)帶領的團隊識別出了一個300萬美元的利用漏洞。具體來說,這位高管在6月19日發布在X(以前是Twitter)上的一個串中詳細解釋了整個情況。
值得注意的是,調查顯示,有三個帳戶在幾天內利用了報告的漏洞。其中一個帳戶屬於一個自稱是安全研究人員的個人。基本上,這個人發現並利用了這個漏洞將他們的帳戶充值了4美元的加密貨幣。
佩爾科科形容這足以證明這個漏洞並通過Kraken的Bug獎勵計畫收取豐厚的獎勵。然而,當他們注意到其他兩個帳戶也從第一個人的披露中受益時,事情迅速升級。
從漏洞報告到敲詐企圖
當Kraken要求對他們的活動進行全面說明並要求退回提取的資金時,安全研究人員拒絕了並要求與他們的業務發展團隊通話,從事佩爾科科形容為敲詐的行為。
此外,首席安全官解釋說,Kraken的Bug獎勵計劃已經運作了將近十年,有明確的規則。特別是:
根據這位交易所的高管,合法的研究人員從來沒有在Kraken遇到問題,Kraken一直很積極回應。
為了透明,該公司向行業披露了這個漏洞,並將該事件視為刑事案件,與執法機構協調。交易所強調,忽視Bug獎勵計劃的規則並試圖敲詐公司會取消研究人員的“駭客許可證”並使他們成為罪犯。
Kraken的漏洞調查
此外,尼克·佩爾科科透露說,交易所經常收到假的Bug獎勵報告。然而,Kraken嚴肅對待了這份報告,並迅速組建了團隊進行調查。在幾分鐘內,他們發現了一個孤立的漏洞,根據特定情況,允許惡意攻擊者發起存款並收到資金,而無需完全完成交易。
據佩爾科科報告,Kraken的團隊在一小時47分鐘內解決了問題。這個漏洞在幾個小時內完全修復,確保不會再次發生。這個漏洞源於最近的用戶體驗(UX)變更,該變更在客戶資產未清算之前就給予了客戶帳戶信用,從而實現了實時交易。
儘管有這個孤立的經歷,Kraken仍致力於其Bug獎勵計劃,認識到它對增強加密貨幣生態系統整體安全性的重要性。交易所期待與善意的參與者合作,同時堅決反對不道德行為。