Kraken在收到安全漏洞报告后仍遭勒索，损失近300万美元

Kraken在收到安全漏洞报告后仍遭勒索，损失近300万美元 据 Kraken 首席安全官 Nick Percoco 在推特上披露，6月9日收到一名安全研究员的漏洞报告，声称发现一个“极其严重”的漏洞，可人为增加账户余额。调查发现，最近的用户体验（UX）改动导致系统在存款未完成前提前记入资金，使攻击者能虚增账户余额。尽管客户资产未受风险，但漏洞允许攻击者在一段时间内“制造”资金。Kraken 在约1小时（47分钟）修复了该漏洞，并发现三个账户利用了该漏洞，从 Kraken 金库中提取了近 300 万美元，其中一个账户属于最初报告漏洞的研究员。此人只增加了 4 美元余额，本可证明漏洞存在并获赏金，但他将漏洞告知他人，后者提取了大量资金。Kraken 要求他们提供完整活动记录并退还资金，但遭到拒绝并试图勒索。Kraken 正与执法机构合作处理此事，Percoco 强调，合规的安全研究应遵守漏洞赏金计划的规定，超出规则并勒索的行为不可接受。