研究员利用0day盗取密币交易所300万美元并拒绝归还

5bb0f840b5bb2efa08b699e52fa75d21.gif 聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士

32dfafb9fead88b79723bbab71057bcd.gif

密币交易所 Kraken 披露称,一名未具名安全研究员利用一个“极其严重”的平台 0day漏洞,窃取了300万美元的数字资产并拒绝归还。

d59a2a8e079d127c0fc3a37cd8eb4abe.gif

密币交易所Kraken 的首席安全官 Nick Percoco 分享了该事件详情并指出,收到了关于“可使他们随意增加平台上的余额”的漏洞奖励计划告警,但并未获得其它任何详情。

Kraken 指出,在收到该告警的几分钟内公司发现了一个安全问题,它可导致攻击者“在平台上发起存款,账户在没有完全完成存款的情况下就收到资金”。虽然Kraken 强调称该问题并未导致任何客户资产遭受风险,但它本可使攻击者在账户中打印资产。该公司提到在47分钟内修复了这个问题,并指出该漏洞源自用户接口最近发生的一次变更,使客户能够进行存款并在清空前使用。

此外,进一步调查发现,本次事件涉及三个账户,其中一个应该是这名安全研究员的账户,在几天内利用该缺陷嗅探300万美元。

Percoco 表示,“这名人员在我们的资金系统中发现了漏洞并利用它为自己的账户增加了价值4美元的密币。做到这一步就足以证明该漏洞的存在,之后就能向团队发送漏洞奖励报告并按照漏洞奖励计划的条款获得非常可观的奖励。但是,这名‘安全研究员’将这个漏洞告知其他两名合作人员,后者通过欺诈手段得到了多得多的资金。他们最终从 Kraken 账户中提取了近300万美元的资金。不过该资金属于 Kraken而非客户资产。”

事件的后续发展颇为离奇,Kraken 要求研究员共享用于创建这种链上活动的PoC 利用并返回所提取的资金时,他们却反过来要求Kraken与自己的业务开发团队联系并支持一笔资金来释放这些资产。

Percoco 表示,“这并不是白帽黑客行为,这是敲诈”,他督促这些人员归还被盗资金。这些人员所属公司的名称并未被披露,不过 Kraken 指出认为这次安全事件是刑事犯罪行为,正在与执法机构协同处理。Percoco 提到,“作为一名安全研究人员,你获得’入侵’ 一家公司的许可是因为遵守了所参与漏洞奖励计划的简单规则。无视这些规则并敲诈公司使你的‘入侵许可’无效。这种行为让你、你所在的公司都成为了犯罪分子。”

代码卫士试用地址:https://codesafe.qianxin.com

开源卫士试用地址:https://oss.qianxin.com


推荐阅读

Ledger 模块遭投毒,价值60万美元的密币被盗

零成本利用微软 Azure 自动化服务,开发出完全无法检测到的云密币挖矿机

451个PyPI包被指安装Chrome扩展窃取密币

Solana 区块链平台疑遭供应链攻击,价值数百万美元的密币遭洗劫

超过1200个NPM包被滥用于挖掘密币

原文链接

https://thehackernews.com/2024/06/kraken-crypto-exchange-hit-by-3-million.html

题图:Pixabay License

本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

fb62f06f62fe003334c43be44df7929d.jpeg

fb2c0fc051e196e266ebcd8f7f9171df.jpeg

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

   dd8c006ead1665a03e19eb03956b5203.gif 觉得不错,就点个 “在看” 或 "赞” 吧~

  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值