暗网惊现Kraken管理员权限出售，用户数据安全引发担忧

据最新消息，一些不法分子正在暗网论坛上以低价出售加密货币交易所Kraken的内部管理面板只读访问权限。

这一事件引发了用户数据可能被泄露以及遭受定向网络钓鱼攻击风险的广泛担忧。

暗网爆料：Kraken安全性面临严峻挑战

据暗网情报网站（Dark Web Informer）披露，卖家在广告中声称，购买者可以通过该权限查看用户个人资料、交易记录以及完整的KYC文件，包括身份证件、自拍照、地址证明和资金来源信息。

此外，卖家还表示，该访问权限可持续一到两个月，并通过代理服务器提供，没有IP限制，甚至包含生成支持工单的功能。

尽管部分网民对该广告的真实性持怀疑态度，但安全专业人士已对此发出警告。

“几乎可以肯定是假的，”一位用户评论道。然而，这种不确定性进一步凸显了对该权限真实性的争议。

另一些人则强调，如果属实，这将对Kraken客户构成重大威胁，并呼吁交易所和执法部门立即展开调查。

“如果这是真的，那对Kraken的客户来说将构成重大的数据泄露和网络钓鱼风险。Kraken的安全和执法团队需要立即介入调查。”另一位人士补充道。

值得注意的是，即使只是只读访问权限，也可能被用于制造极具说服力的社会工程攻击。截至目前，Kraken尚未回应BeInCrypto的置评请求。

只读权限并非无害：潜在风险不容忽视

CIFER Security指出，即使是只读访问权限，也可能带来严重后果。虽然攻击者无法直接修改账户，但他们可以通过支持工单功能实现以下目标：

• 模仿Kraken员工；
• 引用真实的交易详情以赢得信任；
• 锁定通过交易记录识别出的高价值用户。

掌握交易模式、钱包地址以及充值或提现行为，可使攻击者获得关键情报，从而发起网络钓鱼、SIM卡交换和凭证填充攻击，威胁范围远超账户泄露本身。

事实上，管理面板被攻破在加密货币行业并非新鲜事。类似Mt. Gox（2014）、Binance（2019）、KuCoin（2020）、Crypto.com（2022）和FTX（2022）等交易所均曾遭遇过针对内部系统的攻击。这表明，具有高权限的集中式工具仍是主要攻击目标。

Kraken此次的风险敞口与这一趋势相符，进一步凸显了金融服务行业在特权访问管理方面的持续挑战。

Kraken用户应如何应对？

CIFER Security建议用户假定存在潜在风险，并立即采取以下防护措施：

• 启用硬件密钥认证；
• 启用全局设置锁定；
• 将提款地址加入白名单；
• 回复支持性信息时务必格外谨慎。

同时，用户还需密切关注SIM卡交换攻击、可疑密码重置和其他定向威胁的迹象，并考虑将大额资产转移到硬件钱包或新地址，以避免暴露在可能泄露的交易历史记录中。

此次事件再次揭示了集中式托管固有的风险。交易所的设计初衷是将敏感客户数据集中在管理后台，但这往往成为单点故障的根源。

正如CIFER所指出，更强大的架构应依赖基于角色的访问控制、即时权限、数据脱敏、会话记录和零常驻权限，以最大限度地减少入侵发生时的影响范围。

如果报道属实，Kraken亟需确定访问来源，无论是来自泄露的凭证、内部人员的行为、第三方供应商，还是会话劫持。

可能的预防措施包括轮换所有管理员凭据、审核访问日志以及与用户进行透明沟通。

在中心化风险与加密货币去中心化承诺发生冲突的环境中，快速透明的响应将有助于维护用户信任。