聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
密币交易所Kraken 的首席安全官 Nick Percoco 分享了该事件详情并指出,收到了关于“可使他们随意增加平台上的余额”的漏洞奖励计划告警,但并未获得其它任何详情。
Kraken 指出,在收到该告警的几分钟内公司发现了一个安全问题,它可导致攻击者“在平台上发起存款,账户在没有完全完成存款的情况下就收到资金”。虽然Kraken 强调称该问题并未导致任何客户资产遭受风险,但它本可使攻击者在账户中打印资产。该公司提到在47分钟内修复了这个问题,并指出该漏洞源自用户接口最近发生的一次变更,使客户能够进行存款并在清空前使用。
此外,进一步调查发现,本次事件涉及三个账户,其中一个应该是这名安全研究员的账户,在几天内利用该缺陷嗅探300万美元。
Percoco 表示,“这名人员在我们的资金系统中发现了漏洞并利用它为自己的账户增加了价值4美元的密币。做到这一步就足以证明该漏洞的存在,之后就能向团队发送漏洞奖励报告并按照漏洞奖励计划的条款获得非常可观的奖励。但是,这名‘安全研究员’将这个漏洞告知其他两名合作人员,后者通过欺诈手段得到了多得多的资金。他们最终从 Kraken 账户中提取了近300万美元的资金。不过该资金属于 Kraken而非客户资产。”
事件的后续发展颇为离奇,Kraken 要求研究员共享用于创建这种链上活动的PoC 利用并返回所提取的资金时,他们却反过来要求Kraken与自己的业务开发团队联系并支持一笔资金来释放这些资产。
Percoco 表示,“这并不是白帽黑客行为,这是敲诈”,他督促这些人员归还被盗资金。这些人员所属公司的名称并未被披露,不过 Kraken 指出认为这次安全事件是刑事犯罪行为,正在与执法机构协同处理。Percoco 提到,“作为一名安全研究人员,你获得’入侵’ 一家公司的许可是因为遵守了所参与漏洞奖励计划的简单规则。无视这些规则并敲诈公司使你的‘入侵许可’无效。这种行为让你、你所在的公司都成为了犯罪分子。”
零成本利用微软 Azure 自动化服务,开发出完全无法检测到的云密币挖矿机
https://thehackernews.com/2024/06/kraken-crypto-exchange-hit-by-3-million.html
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~