美国当地时间6月19日,加密货币交易所Kraken和区块链安全公司CertiK在社交媒体上就一系列严重的安全漏洞问题公开对峙。事件起源于CertiK在Kraken上发现的一个漏洞,Kraken首席安全官Nick Percoco在推特上披露收到了一份“极其严重”的漏洞报告,声称可以人为增加账户余额。CertiK称这是对Kraken进行的安全测试,而Kraken则指责CertiK利用漏洞获利,双方争执不下。
以下是Kraken首席安全官在X平台上发布的事件过程:2024年6月9日,我们收到了一位安全研究员通过漏洞赏金计划发来的警报。起初未有具体信息,但声称发现了一个“极其严重”的漏洞,可以人为增加余额。我们立即组建团队调查,发现在特定情况下,攻击者可以未完成存款即完成存款操作并收到资金。尽管客户资产无风险,攻击者可以在一段时间内生成资产。漏洞被评为“关键”,我们在47分钟内缓解了问题,并在几小时内修复。我们的调查发现,三个账户利用了漏洞,其中一个账户关联到自称安全研究员的个人,通过漏洞套现了300万美元。Kraken联系安全研究员确认细节,并要求归还资金,但遭拒绝。
CertiK随后在X平台发布回应,指出发现了Kraken存款系统的严重问题,未通过测试表明防御系统受到多方面破坏。他们强调透明和保护用户安全,呼吁Kraken停止威胁白帽黑客。
事件引发社区广泛讨论,有人质疑奖金数额,认为偷走数百万美元不应归还。