Kraken暗网泄露事件：只读权限或致大规模网络钓鱼风险

暗网爆料：Kraken安全性面临严峻挑战

据暗网情报网站Dark Web Informer披露，有不法分子在暗网论坛上出售加密货币交易所Kraken的内部管理面板只读访问权限。该广告声称可查看用户个人资料、交易记录及完整的KYC文件，包括身份证件、自拍照、地址证明和资金来源信息。

卖家还宣称，该权限可持续一至两个月，通过代理服务器提供，无IP限制，并具备生成支持工单的功能，进一步增加其可信度与攻击可行性。

尽管部分网民质疑其真实性，但安全专家已发出警报。一位业内人士指出：“几乎可以肯定是假的。”然而，这种不确定性本身即构成风险信号，加剧了公众对平台安全性的担忧。

另一些人强调，若属实，这将对Kraken客户造成重大数据泄露和定向网络钓鱼威胁，亟需交易所与执法部门介入调查。

只读权限并非无害：潜在风险不容忽视

CIFER Security分析指出，即使仅为只读权限，仍可能被用于高精度的社会工程攻击。攻击者可通过支持工单功能模仿官方人员，引用真实交易详情以获取信任，锁定高价值用户。

掌握用户的交易模式、钱包地址及充值提现行为后，攻击者可精准实施网络钓鱼、SIM卡交换和凭证填充等攻击，威胁范围远超账户本身。

事实上，针对交易所管理后台的入侵在行业并不罕见。历史案例如Mt. Gox（2014）、Binance（2019）、KuCoin（2020）、Crypto.com（2022）和FTX（2022）均曾遭遇类似攻击，表明高权限集中系统仍是主要攻击目标。

Kraken此次事件再次暴露金融服务行业在特权访问管理方面的深层缺陷。

Kraken用户应如何应对？

CIFER Security建议用户假定存在潜在风险，并立即采取以下防护措施：

• 启用硬件密钥认证；
• 启用全局设置锁定；
• 将提款地址加入白名单；
• 回复支持性信息时务必格外谨慎。

同时，用户应警惕SIM卡交换攻击、可疑密码重置请求及其他定向威胁迹象。建议将大额资产转移至硬件钱包或新地址，避免暴露于可能泄露的交易历史中。

此次事件揭示了集中式托管固有的安全隐患。交易所将敏感数据集中存储于后台，虽便于运营，却也形成单点故障风险。

正如CIFER所指出，理想架构应采用基于角色的访问控制、即时权限、数据脱敏、会话记录与零常驻权限机制，以最小化入侵影响范围。

若事件属实，Kraken需尽快查明访问来源——可能是泄露的凭证、内部人员行为、第三方供应商漏洞或会话劫持。

可能的预防措施包括轮换所有管理员凭据、全面审核访问日志，并向用户透明通报情况。在中心化风险与加密货币去中心化理念冲突的背景下，快速且透明的响应是维系用户信任的关键。