Kraken拒绝支付赎金，内部勒索事件影响2,000个账户

Kraken 拒绝犯罪勒索企图,此前不当内部访问曝光了约 2,000 个账户的数据,但表示没有系统性漏洞或客户资金风险。

加密货币交易所 Kraken 表示,正受到一个犯罪组织的勒索,该组织声称拥有显示访问公司内部系统的视频,但 Kraken 誓言不支付任何赎金,并坚称客户资金仍然安全。在 CoinDesk 引用的一份声明中,该平台强调其交易基础设施或钱包"没有系统性漏洞",将此事件描述为针对性滥用内部访问权限,而非成功入侵核心系统。

Kraken 表示,该事件源于与其客户服务运营相关的个人在两起独立事件中的不当访问,这些事件共同曝光了约 2,000 个账户的有限数据,约占其用户总数的 0.02%。该交易所补充说,这些用户已收到通知,而涉事人员的凭证已被撤销,并被切断对内部工具的访问,同时 Kraken 正在加强监控和访问控制。

首席安全官 Nick Percoco 此前曾称另一起针对 Kraken 系统的 300 万美元漏洞利用"不是白帽黑客行为,而是勒索",他表示公司再次将新威胁视为刑事案件处理,并正在与执法部门合作。他告诉记者,Kraken 相信有足够证据"识别并协助逮捕"最新勒索企图背后的人员,并重申该平台不会与试图将内部访问权限变现的行为者谈判。

根据该公司的描述,这次攻击反映了"内部渗透 + 社会工程"的上升趋势,即外部人员试图入侵或招募服务组织内部人员,以获取只读访问权限、侦查录像或有限的客户数据,而不是直接攻击加固的钱包系统。今年早些时候,暗网上出现声称以 1 美元访问 Kraken 内部支持面板和 KYC 数据的列表,引发了类似担忧,尽管该交易所未确认漏洞,但安全研究人员警告说,即使是对支持工具的只读访问也可能被武器化,用于网络钓鱼和针对性诈骗。

这次新的勒索企图发生在 3 月份另一起事件之后,据报道,一名 Kraken 用户在一项复杂的社会工程计划中损失了约 7,784 ETH 和 26.5 BTC——价值约 1,820 万美元——资金随后被转移到 HitBTC,突显了平台和客户面临的威胁范围。正如区块链分析公司 EmberCN 等指出的那样,即使交易所金库和热钱包未被入侵,人为控制的疏漏——从客户支持访问到用户操作安全——仍可能导致重大损失和声誉损害。

对于 Kraken 而言,最新案例是对其长期倡导的安全文化的压力测试,该文化包括强制性双因素认证、硬件密钥支持以及 Percoco 定期发布有关账户保护最佳实践的公开信息。对于更广泛的行业而言,这再次提醒人们,在一个单一受损凭证就可能让攻击者觊觎数百万美元的市场中,最大的风险往往存在于内部访问、人为错误和老式勒索的交汇点——而不仅仅是零日代码中。