Key points:
关键性漏洞使用户能够创建人工资金。
该漏洞起源于一月份的新平台功能，数月内未被察觉。
研究人员利用了该漏洞，在报告之前提取了近300万美元。


Kraken的漏洞
read
CoinChapter.com
about


Google News
卢克瑙（CoinChapter.com）——加密交易所Kraken最近修复了一个关键性漏洞，使一些用户能够在他们的账户中生成人工资金，这个漏洞在几个月内一直存在。安全团队在6月9日收到一个漏洞赏金报告后发现了这个漏洞，并指出它允许用户在实际完成之前发起存款并将资金记入账户。


source:
X
根据Kraken的首席安全官尼克·佩尔科科（Nick Percoco）的说法，这个漏洞允许“恶意攻击者在一段时间内有效地在他们的账户中打印资产。”没有发现恶意行为者利用该漏洞。然而，一些安全研究人员在其中一人通过漏洞赏金计划最初报告了这个问题后利用了这个漏洞。
Kraken的漏洞允许无限制的货币印刷
修复后的漏洞始于一月份，当时Kraken平台推出了一个新功能。正如Kraken的传媒负责人亚历山大·卡塞尔斯（Alexander Cassells）解释的那样，“这个功能从一月份开始出现在平台上。”
它创建了一个令人不安的情况，用户可以开始向Kraken存款，并在交易完成之前将这些资金记入他们的账户。在最终确定之前的窗口期内，用户可以通过取消已经记入账户的待定存款，人为地增加他们的余额。
这并不是加密交易所首次受到这种利用的攻击。2020年，加拿大加密交易所CoinBerry的软件故障使500多名用户通过滥用即时电子转账在取消存款之前窃取了300万美元的比特币。
在Kraken的情况下，这个漏洞在数月内未被察觉。然而，一位安全研究人员于6月9日提交了一个关于“非常关键的漏洞”的漏洞赏金报告。Kraken的团队在调查后的几小时内迅速修复了这个问题。
报告此漏洞的研究人员以及另外两名研究人员已经从Kraken的资金库中欺诈性地提取了将近300万美元。第一个研究人员只存入了4美元以测试漏洞，但另外两人提取了更大数量的资金。
Kraken现在将此事视为刑事问题，并与执法机构合作。这两位研究人员拒绝归还被利用的资金，直到他们确定如果他们没有帮助发现这个漏洞，Kraken可能会损失多少。
尽管这是一个令人担忧的失误，但Kraken在通过其漏洞赏金计划得知后迅速采取了解决措施。该交易所已经面临美国证券交易委员会的审查，涉嫌违反证券法。