加密货币交易所Kraken表示，一些“安全研究人员”在发现平台上的漏洞后转向“敲诈勒索”，从交易所的资金中提取了约300万美元。Kraken首席安全官尼克·佩尔科科在社交媒体平台X（前身为Twitter）上发文称，公司于6月9日收到一名安全研究人员关于一个漏洞的“漏洞赏金计划”警报，该漏洞允许用户人为增加其余额。佩尔科科补充说，该漏洞“在适当的情况下允许恶意攻击者向我们的平台发起存款，并在没有完全完成存款的情况下收到其账户中的资金。”收到报告后，Kraken迅速解决了这个问题，并没有影响到用户资金。然而，随后发生的事情引起了Kraken团队的警示。据称，这名安全研究人员在发现该漏洞后向另外两名个人透露了漏洞，随后这两人从Kraken账户中“欺诈性地”提取了将近300万美元。“这些资金来自Kraken的资金储备，而非其他客户资产，”佩尔科科说。最初的漏洞报告没有提到这两个人的交易，当Kraken要求了解他们的活动详情时，他们拒绝了。“相反，他们要求与他们的商务拓展团队（即他们的销售代表）通话，并且在我们提供了该漏洞可能导致的金额估计之前，他们不同意归还任何资金。这不是白帽黑客行为，这是敲诈！”佩尔科科写道。许多公司利用漏洞赏金计划来邀请第三方黑客（即“白帽黑客”）发现漏洞，以便公司在恶意行为者利用它们之前修复漏洞。Kraken的竞争对手Coinbase也有类似的计划来帮助发现漏洞。Kraken在一篇博文中表示，要获得赏金，其漏洞赏金计划要求第三方发现问题、利用最低金额来证明漏洞、归还资产并提供漏洞详情。由于这些安全研究人员没有遵守这些规定，他们将不会获得赏金。Kraken发言人告诉Crypto：“我们以诚信的态度与这些研究人员合作，并根据十年来运行漏洞赏金计划的惯例，为他们的努力提供了丰厚的赏金。我们对这次经历感到失望，现在正与执法机构合作，以从这些安全研究人员那里取回资产。”对于这一事件，作为专业研究员，我认为安全研究对于加密货币行业的发展至关重要。漏洞赏金计划是一种促进安全性的有效机制，但必须遵守规定和规则。安全研究人员应该以负责任的方式行事，而不是将发现的漏洞用于敲诈勒索。这种行为不仅损害了交易所的利益，也损害了整个加密货币行业的声誉。因此，我支持Kraken与执法机构合作，维护自身权益的做法。同时，我呼吁加密货币行业加强对安全研究行为的监管，建立更加规范和透明的漏洞赏金计划，以推动行业的健康发展。