Odaily星球日报讯 Kraken Exchange 首席安全官 Nick Percoco 在 X 平台发文披露，6 月 9 日收到了一名安全研究人员发出的 Bug Bounty 计划警报，最初没有披露任何具体细节，仅在电子邮件中声称发现了一个“极其严重”的漏洞，该漏洞使他们能够人为地增加我们平台上的余额。Kraken 每天都会收到自称是“安全研究人员”的人发来的虚假漏洞赏金报告。对于任何运行漏洞赏金计划的人来说，这都不是什么新鲜事。但几分钟后，Kraken 就发现了一个孤立的漏洞。在适当的情况下，恶意攻击者可以在平台上发起存款，并在未完成存款的情况下将资金存入其账户。 需要明确的是，客户的资产从未受到威胁。但是，恶意攻击者可以在一段时间内有效地窃取其 Kraken 账户中的资产，Kraken 将此漏洞归类为“严重”，在一小时内（确切地说是 47 分钟）专家团队就缓解了此问题。在几个小时内，此问题已完全修复，不会再次发生。通过彻底调查情况，很快发现几天之内有 3 个账户利用了此漏洞。深入调查后发现其中一个账户的 KYC 被一个自称是安全研究员的人所拥有。这位“安全研究员”向另外两名与其合作的人透露了这个漏洞，这两名人员通过欺诈手段最终从 Kraken 账户中提取了近 300 万美元，这些钱来自 Kraken 的资金，而不是其他客户资产。本着透明的原则，Kraken 今天向业界披露了这起漏洞事件。