拾野
原创
发布: 2026-01-11
8人浏览过
拾野
原创据报道,威胁行为者正在暗网论坛上出售Kraken内部管理面板的只读访问权限。
该事件引发了对用户数据潜在泄露及针对性钓鱼攻击风险的担忧。
据Dark Web Informer透露,该商品宣称可查看用户资料、交易记录及完整KYC文件,包括身份证件、自拍、地址证明和资金来源信息。
卖家声称访问权限可持续1-2个月,采用代理连接无IP限制,且包含生成客服工单的功能。
尽管部分网友持怀疑态度,但该商品已立即引起安全专家的高度关注。
"几乎肯定是假的",一名用户评论道,反映出对访问权限真实性的质疑。
其他人警告称若属实,数据泄露将使Kraken用户面临重大风险,敦促交易所与执法部门紧急调查。
"若此事属实,对Kraken用户而言将是重大的数据泄露和钓鱼风险。Kraken安全团队与执法部门需立即介入",另一人补充道。
这种访问权限确实可能被用于实施极具迷惑性的社会工程攻击。Kraken未立即回应BeInCrypto的置评请求。
CIFER Security强调即使只读权限也可能造成严重后果。虽然攻击者无法直接修改账户,但可利用工单功能:
完整掌握交易模式、钱包地址及存取款行为后,威胁行为者能策划精准的钓鱼攻击、SIM卡劫持和凭证填充攻击,使威胁远超账户泄露本身。
管理面板入侵在加密行业并非新鲜事。Mt. Gox(2014年)、币安(2019年)、KuCoin(2020年)、Crypto.com(2022年)和FTX(2022年)等交易所都遭遇过针对内部系统的攻击。这凸显具有高权限的集中式工具仍是主要攻击目标。
Kraken此次传闻中的泄露符合这一普遍模式,反映了金融服务领域特权访问安全保护的持续挑战。
CIFER Security建议假设存在潜在泄露风险并立即采取防护措施,包括:
用户还应警惕SIM卡劫持攻击迹象、可疑密码重置等针对性威胁,考虑将重要资产转移至硬件钱包或潜在泄露交易记录中不可见的新地址。
该事件暴露出中心化托管的内在风险。交易所设计上将敏感用户数据集中于管理面板,形成了单点故障。
正如CIFER指出,更健壮的架构需依赖基于角色的访问控制、即时权限分配、数据脱敏、会话记录和零常驻权限,以在入侵发生时最小化影响范围。
若报道属实,Kraken亟需查明访问权限来源——无论是凭证泄露、内部人员行为、第三方供应商问题还是会话劫持所致。
同样若属实,可能采取的预防措施包括轮换所有管理凭证、审计访问日志以及与用户保持透明沟通。
在中心化风险与加密货币去中心化承诺相冲突的环境下,快速透明的响应有助于维持信任。
剑星(Stellar Blade)是一款由SHIFT UP Corporation制作,PlayStation Publishing LLC发行的后末日动作冒险游戏,在游戏中拯救濒临灭绝的人类。地球正一步步走向衰败,去找到地球没落的原因,体验激烈战斗与曲折剧情。感兴趣的玩家快来下载看看吧。
