Kraken 加密货币交易所今天披露，所谓的安全研究人员利用零日网站漏洞窃取了 300 万美元的加密货币约为2177万人民币，然后拒绝归还资金。

Kraken 首席安全官 Nick Percoco 在 X 上披露了这次黑客攻击，并解释说该交易所的安全团队在 6 月 9 日收到了一份模糊的错误报告，内容涉及一个“极其严重”的漏洞，该漏洞允许任何人人为增加 Kraken 钱包中的余额。

Kraken 表示，他们调查了该报告并发现了一个漏洞，即使存款失败，攻击者也可以发起存款并收到资金。

“几分钟内我们就发现了一个孤立的漏洞。在适当的情况下，恶意攻击者可以在我们的平台上发起存款，并在没有完全完成存款的情况下将资金存入他们的账户，”Percoco 解释道。

“需要明确的是，客户的资产从未受到威胁。但是，恶意攻击者可以在一段时间内有效地将资产存入他们的 Kraken 账户。”

Percoco 表示，Kraken 安全团队在一小时内修复了该漏洞，并发现该漏洞源于最近的用户界面变化，该变化允许客户在资金清算之前存入并使用它们。

事情就是在这里发生了奇怪的转变。

在修复该漏洞后，他们发现有三名用户利用该零日漏洞从交易所金库窃取了 300 万美元。

一名成员与一名自称是研究人员的人有联系，该研究人员利用它将 4 美元的加密货币存入自己的账户以证明这个漏洞。

然而，Percoco 表示，该漏洞已被披露给与研究人员有关的另外两个人，他们利用该漏洞从他们的 Kraken 账户中提取了另外 300 万美元的被盗资金。

在就此次撤回事宜与研究人员联系后，Percoco 表示研究人员拒绝归还加密货币或分享有关该漏洞的任何信息，正如漏洞披露中所预期的那样。

Percoco 声称：“相反，他们要求其业务开发团队（即销售代表）进行通话，并且不同意退还任何资金，直到我们提供如果他们不披露该漏洞可能造成的损失的估计金额。”

“这不是白帽黑客，这是敲诈勒索！”

Percoco 表示，Kraken 不会透露研究人员的身份，因为“他们的行为不值得认可”。

Kraken 现在表示，他们将此事视为刑事案件，并已通知执法部门。