摘要:加密货币交易所Kraken披露其遭遇犯罪组织勒索,因内部人员不当访问导致约2000个账户数据外泄,但强调客户资金未受影响,系统无重大漏洞。公司已切断涉事权限并加强监控。
Kraken回应勒索指控:内部权限滥用致数据外泄,资金安全未受冲击
针对近期外部势力以视频泄露为要挟的勒索行为,Kraken明确表示拒绝支付赎金,并确认其核心交易系统与用户钱包未出现系统性缺陷。公司指出,此次事件源于对客服运营人员内部访问权限的非法利用,而非对主平台架构的突破性入侵。
两起违规操作致近两千账户信息外泄,涉事人员已被隔离
据调查,该事件由两起独立的内部访问异常引发,共波及约2000名用户(占总用户量的0.02%),涉及有限个人信息的非授权获取。平台已向受影响用户发送通知,撤销相关员工的访问凭证,并彻底断开其与内部管理工具的连接。目前,企业正强化身份验证机制与实时行为监控体系。
内部渗透结合社会工程:新型攻击模式持续演进
首席安全官Nick Percoco透露,公司已将此事件定性为刑事犯罪,正协同执法机构深入追查。他强调,现有证据足以支持对幕后策划者的识别与起诉,且平台坚持不与任何企图通过内部渠道牟利的实体进行谈判。
公司分析认为,当前威胁趋势呈现“内部渗透+社会工程”特征,即外部攻击者通过策反或收买内部员工,获取仅读权限、操作日志或客户资料,用以实施精准钓鱼或诈骗,而非直接攻破高防护等级的钱包系统。今年早些时候,暗网曾出现标价1美元即可访问内部支持界面及KYC信息的售卖清单,虽未获官方证实,但已引发行业警觉。安全专家提醒,即便只是只读访问,也可能被用于构建高度可信的欺诈场景。
此前三月,一名用户因复杂的社会工程手段损失约7784枚ETH和26.5枚BTC(约合1820万美元),资金随后转入HitBTC。这一案例凸显了从平台到终端用户全链路风险的复杂性。正如区块链分析机构EmberCN所指出,即使热钱包与资金库保持完好,一旦客服接口或用户交互环节存在疏漏,仍可能造成严重财务损失与品牌信誉受损。
对Kraken而言,此次事件是对长期推行的纵深防御策略的一次实战检验,该策略涵盖强制双因素认证、硬件密钥支持以及安全官定期发布的用户防护建议。对整个行业而言,这再次揭示:在当前环境下,最大威胁往往不在代码漏洞本身,而在于内部权限管理失效、人为判断失误与传统勒索手段的深度耦合,其潜在价值甚至超过零日攻击。
声明:本站所有文章内容,均为采集网络资源,不代表本站观点及立场,不构成任何投资建议!如若内容侵犯了原著者的合法权益,可联系本站删除。