详细内容或原文请订阅后点击阅览
一名无良研究人员诈骗 Kraken 加密货币交易所 300 万美元
致命的 0day 漏洞仅用了 47 分钟就被修复,但为时已晚。
来源:安全实验室新闻频道这个致命的 0day 漏洞仅用了 47 分钟就被修复,但为时已晚。
流行的加密货币交易所 Kraken 报告称,由于一位未透露姓名的安全研究人员发现并“悄悄”利用了一个严重的零日漏洞,导致 300 万美元被盗。 Kraken 首席安全官 Nick Percoco 表示,该漏洞允许无良研究人员人为地增加平台上的余额。
海妖 告诉,该公司很快发现了欺诈活动,这些活动使得在未完全完成存款和接收资金的情况下成为可能。尽管没有客户资产受到影响,但该问题可能允许攻击者在其帐户中创建新资产。
据报道,该问题是由最近的界面更改引起的,该更改允许客户在清算之前使用存入的资金。调查显示,三名用户利用了该漏洞,其中包括一名潜在的研究人员。并且在创纪录的47分钟内被淘汰。
Percoco 澄清,上述研究人员是第一个发现该漏洞的人,并利用该漏洞将 4 美元存入他的账户。他本可以向赏金计划报告这一情况并获得大笔报酬,但他决定与另外两个人分享他的发现,这两个人产生了更多的资金,并从交易所提取了近 300 万美元。
当 Kraken 要求归还被盗资金时,攻击者要求联系他们的团队支付赎金。该公司认为此举属于敲诈勒索行为,因此正在将此事件视为刑事案件,并正在与执法机构合作。
Percoco强调,安全研究人员必须遵守赏金计划的规则,否则他们的行为就是非法的,将受到法律公平的惩罚。