“这不是白帽黑客,这是敲诈勒索!”——昨天,知名加密货币交易所Kraken在X上发推斥责了一名安全研究员的漏洞披露行为。
根据Kraken的推文,其安全团队于6月9日从某安全研究员那儿收到了一份关于最高严重级别漏洞的模糊报告,该漏洞允许任何人在Kraken钱包中人为增加余额。在收到报告的几分钟后,他们证实了这一个漏洞:假如恶意攻击者利用这一漏洞在其平台上启动存款,能够不必完成存款流程而在账户中收到资金。Kraken安全团队在一个小时内修复了这个漏洞,并发现这是源自最近的用户界面更改,允许客户在资金清算之前存款并使用这些资金。
本来故事到这里都只是一个正常的漏洞披露事件,但接着却发生了奇怪的转折。
在修复漏洞后,Kraken发现有三名用户利用这一0day漏洞转移了约300万美元。其中一人是披露此漏洞的安全研究员,他使用这一漏洞向其账户存入了4美元的加密货币以证明这个漏洞。但除此之外,Kraken认为这个漏洞还被披露给了另外两个与研究人员有关的人,他们利用这个漏洞从Kraken账户中盗取了额外的300万美元。
Kraken要求对方返还这一笔资金,却遭到了对方的拒绝。“相反,他们要求与他们的商务发展团队(即他们的销售代表)进行通话,并且在我们提供此漏洞可能导致的损失金额估计之前,他们不同意归还任何资金。这不是白帽黑客,而是敲诈勒索!” Kraken发言人Nick Percoco愤怒说道。Kraken现在表示,他们将这视为一起刑事案件,并已通知执法部门。
最初的推文中没有具体提及对方的身份。而在推文发布之后,安全审计公司CertiK站了出来回应此事,但该公司对此事则有着不同的解释:“真正的问题应该是 Kraken 的深度防御系统为何未能检测到如此多的测试交易。从不同的测试账户连续进行大额提款是我们测试的一部分。”
CertiK在推文中说:“在成功识别和修复漏洞后,Kraken的安全运营团队威胁要求个别CertiK员工在不合理的时间内归还不匹配的加密货币金额,甚至没有提供归还地址。”
CertiK随后公开了所有的测试存款交易,并表示:“由于 Kraken 未提供还款地址且请求的金额不匹配,我们将根据我们的记录将资金转入 Kraken 可以访问的账户。”
关于此事的性质,究竟是白帽黑客行为还是盗窃勒索行为,似乎暂时还无法盖棺定论。大家都是怎么看待的呢?
资讯来源:X
转载请注明出处和本文链接
原文始发于微信公众号(看雪学苑):白帽黑客还是敲诈勒索?某安全团队疑似在披露漏洞的同时盗走300万美元加密资产
