Kraken在收到安全漏洞报告后仍遭勒索,损失近300万美元

Kraken在收到安全漏洞报告后仍遭勒索,损失近300万美元据Kraken首席安全官NickPercoco在推特上披露,6月9日收到一名安全研究员的漏洞报告,声称发现一个“极其严重”的漏洞,可人为增加账户余额。调查发现,最近的用户体验(UX)改动导致系统在存款未完成前提前记入资金,使攻击者能虚增账户余额。尽管客户资产未受风险,但漏洞允许攻击者在一段时间内“制造”资金。Kraken在约1小时(47分钟)修复了该漏洞,并发现三个账户利用了该漏洞,从Kraken金库中提取了近300万美元,其中一个账户属于最初报告漏洞的研究员。此人只增加了4美元余额,本可证明漏洞存在并获赏金,但他将漏洞告知他人,后者提取了大量资金。Kraken要求他们提供完整活动记录并退还资金,但遭到拒绝并试图勒索。Kraken正与执法机构合作处理此事,Percoco强调,合规的安全研究应遵守漏洞赏金计划的规定,超出规则并勒索的行为不可接受。https://www.panewslab.com/zh/sqarticledetails/leu473fh.html

相关推荐

封面图片

CertiK:向 Kraken 报告安全漏洞后员工却遭到其安全运营团队威胁

CertiK:向Kraken报告安全漏洞后员工却遭到其安全运营团队威胁区块链安全机构CertiK在X平台发文称,此前已经发现Kraken交易所的一系列严重漏洞,这些漏洞可能导致数亿美元的潜在损失。CertiK的调查显示,Kraken的存款系统无法有效区分不同的内部转账状态,存在恶意行为者伪造存款交易并提取伪造资金的风险。在测试期间,数百万美元的虚假资金可以被存入Kraken账户,并提取超过100万美元的伪造加密货币转化为有效资产,且Kraken系统未触发任何警报。CertiK通知Kraken后,Kraken将漏洞分类为“严重”(Critical),并初步修复了问题。但CertiK指出,Kraken安全团队随后威胁CertiK员工,要求在不合理的时间内偿还不匹配的加密货币,并未提供还款地址。为了保护用户安全,CertiK决定公开此事,呼吁Kraken停止对白帽黑客的任何威胁,强调通过合作应对风险。
封面图片

CertiK:向Kraken报告安全漏洞后员工却遭到其安全运营团队的威胁

CertiK:向Kraken报告安全漏洞后员工却遭到其安全运营团队的威胁CertiK宣布在Kraken交易所发现了一系列严重漏洞,这些漏洞可能导致数亿美元的潜在损失。在测试期间,数百万美元的虚假资金可以被存入Kraken账户,并提取超过100万美元的伪造加密货币转化为有效资产,且Kraken系统未触发任何警报。https://www.panewslab.com/zh/sqarticledetails/r4ndd6e2.html
封面图片

Kraken 首席安全官:欺诈者从平台账户提取近 300 万美元,客户资产安全

Kraken首席安全官:欺诈者从平台账户提取近300万美元,客户资产安全6月19日消息,KrakenExchange首席安全官NickPercoco在X平台发文披露,6月9日收到了一名安全研究人员发出的BugBounty计划警报,最初没有披露任何具体细节,仅在电子邮件中声称发现了一个“极其严重”的漏洞,该漏洞使他们能够人为地增加我们平台上的余额。需要明确的是,客户的资产从未受到威胁。但是,恶意攻击者可以在一段时间内有效地窃取其Kraken账户中的资产,Kraken将此漏洞归类为“严重”,在一小时内(确切地说是47分钟)专家团队就缓解了此问题。在几个小时内,此问题已完全修复,不会再次发生。通过彻底调查情况,很快发现几天之内有3个账户利用了此漏洞最终从Kraken账户中提取了近300万美元,这些钱来自Kraken的资金,而不是其他客户资产。
封面图片

【CertiK:此前向Worldcoin报告的安全漏洞已得到修复】

【CertiK:此前向Worldcoin报告的安全漏洞已得到修复】2023年08月04日12点00分8月3日消息,区块链安全公司CertiK在社交平台表示,该公司在5月29日向Worldcoin的安全团队报告了一个可能允许攻击者通过绕过验证过程成为Orb运营商的安全漏洞。通过这个安全漏洞,恶意攻击者可以绕过Worldcoin运营商接受过程的验证和严格的参与条件。这意味着它不需要是一家公司,也不需要进行适当的身份验证或接受审查面试。在正常情况下,只有通过Worldcoin严格的身份验证过程的合法企业才能运行收集用户虹膜信息的Orb操作。Worldcoin的安全团队确认了这个安全漏洞,并迅速发布了修复。CertiK已经验证并确认该修复已经缓解了威胁。
封面图片

Meta被爆存在安全漏洞,可绕过双因素身份认证,Instagram 及Facebook受影响

Meta被爆存在安全漏洞,可绕过双因素身份认证,Instagram及Facebook受影响尼泊尔黑客GtmMänôz发现Meta账户中心在设置双重验证时没有尝试次数限制,因此攻击者可以暴力破解双重验证码,将受害者的电话号码/电子邮箱连接到其它Instagram或Facebook账户上(例外:无法在FB中添加已注册邮箱),仅知道电话号码就可以关闭任何人的短信双重验证。理论上,鉴于目标不再启用双重验证,攻击者可以尝试通过网络钓鱼或其它手段获取密码然后接管受害者账户。Meta漏洞赏金官方称之为"2022年提交的最具影响力BUG之一"给予了GtmMänôz27200美元奖励。目前尚不清楚是否有人利用了这个漏洞。——
封面图片

【Skyward Finance遭遇漏洞利用,损失约300万美元】

【SkywardFinance遭遇漏洞利用,损失约300万美元】11月3日消息,据外媒报道,NEAR链上资产发行平台SkywardFinance遭遇漏洞利用,已损失110枚NEAR代币(约合300万美元)。RefFinance和Skyward团队已被告知该漏洞的存在。据报道,攻击者在RefFinance上购买大量的Skyward代币,然后“通过SkywardFinance上的Treasury赎回”,然后获得比最初投入的Skyward代币的价值更多的收益。此外,SkywardFinance发推文表示,SkywardTreasury已通过合约漏洞耗尽,使Treasury和Skyward代币实际上一文不值。正在托管或参与Skyward上的代币销售的用户可安全地提取资金和收益。合约已完全锁定,即使是官方团队也无法暂停或阻止SKYWARD代币的未来问题,我们建议用户尽可能将资金提取至安全的地方,并让社区不再与Skyward互动。

🔍 发送关键词来寻找群组、频道或视频。

启动SOSO机器人