Kraken最近修复了一个漏洞，允许平台用户在数月内虚拟出免费资金到他们的账户中，该公司在周四透露。

在一篇推特帖子中，首席安全官尼克·佩罗科（Nick Peroco）表示，他的团队本月早些时候发现了一个“孤立的漏洞”，该漏洞让客户“人为地增加了他们的余额”。该团队在6月9日收到了一位安全研究人员的漏洞赏金计划警报，称他们在系统中发现了一个“极其关键的漏洞”。

“涉及的功能于一月份出现在平台上，”Kraken的传播负责人亚历山大·卡塞尔斯（Alexander Cassells）在一封给Decrypt的电子邮件中说。

根据佩罗科的说法，用户能够启动向Kraken的存款，并在存款本身实际完成之前将资金记入他们的账户。

“一个恶意攻击者可以在一段时间内有效地在他们的Kraken账户中生成资产，”他写道。

其他加密货币交易所也曾遭遇类似的漏洞。早在2020年，加拿大加密货币交易所Coinberry的软件故障导致500多名用户通过向平台发起即时电子转账，让他们的账户被记入资金，然后在存款完成之前取消存款，从而窃取了300万美元的比特币。

从理论上讲，用户随后可以将交易所应有的比特币提取到他们控制的钱包中。由于链上比特币提取是不可逆转的，这样的漏洞可能导致受影响公司潜在的无法弥补的损失。

“这不是一个简单的每天都有人可以利用的bug，”卡塞尔斯在谈到Kraken的漏洞时说，该漏洞在发现后几小时内就得到了修复。“发现这个问题需要相当多的链上边缘案例专业知识的支持，这一事实证明直到最近没有人发现这个问题。”

值得庆幸的是，在那段时间内实际上没有人利用这个漏洞，除了通知Kraken有关该问题的研究人员和另外两名由第一位研究人员通知的研究人员。

然而，尽管提交了漏洞赏金报告的个人用它向他们的钱包充值了4美元，佩罗科表示，另外两名研究人员非法地从他们的Kraken账户中提取了近300万美元，损失由Kraken的财政部门承担。

佩罗科表示，最初的漏洞赏金报告没有披露更大的交易。这些研究人员还拒绝遵循Kraken的漏洞赏金程序的其他标准步骤，并且自那时起拒绝退还任何资金，直到他们知道Kraken在没有他们帮助的情况下可能会损失多少资金。

“我们将这视为一起刑事案件，并相应地与执法机构进行协调，”佩罗科写道。“我们感谢有人报告了这个问题，但这就是我们的想法的尽头。”

Kraken目前面临着一场与SEC的诉讼，指控其涉嫌广泛的证券法违规行为。一些报道还表明，该公司可能在明年考虑进行首次公开募股（IPO）。

由Stacy Elliott编辑。

免责声明：本文章仅代表作者个人观点，不代表本平台的立场和观点。本文章仅供信息分享，不构成对任何人的任何投资建议。用户与作者之间的任何争议，与本平台无关。如网页中刊载的文章或图片涉及侵权，请提供相关的权利证明和身份证明发送邮件到support@aicoin.com，本平台相关工作人员将会进行核查。