Kraken 首席安全暨資訊長 Nick Percoco 披露交易所分別發生兩起內鬼造成資料外洩事件,合計約 2,000 個帳號(佔總客戶 0.02%)受影響。事後,涉案犯罪集團持有記錄存取畫面的影片,並以公開至媒體及社群平台為由發動勒索。
(前情提要:審計公司變駭客?CertiK假好心幫查漏洞,Kraken指控惡意敲詐)
(背景補充:Coinbase,微軟,亞馬遜都吃過虧,為何印度仍成世界外包工廠?)
Kraken 首席安全暨資訊長 Nick Percoco 在 X 上公開說明一起持續演進的內部滲透與勒索事件。事件核心不是外部駭客突破防線,而是犯罪集團透過招募支援團隊員工,侵入 Kraken 內部取得對客戶支援資料的存取權。
Kraken Security Update
We are currently being extorted by a criminal group threatening to release videos of our internal systems with client data shown if we do not comply with their demands. It’s important to start with the most important points: our systems were never…
— Nick Percoco (@c7five) April 13, 2026
發生時間線
第一起發生於 2025 年 2 月,Kraken 稱收到外部線報,指犯罪論壇上流傳一段影片,顯示有人正在存取客戶支援系統。內部調查鎖定涉事員工後,相關存取許可權立即撤銷,並加裝額外安全控管。
第二起發生於 2026 年 4 月前後,模式相同。Kraken 再次收到線報與另一段影片,鎖定第二名支援團隊成員後終止其許可權,並主動通知受影響使用者。
兩起事件合計,約 2,000 個帳號(佔 Kraken 總客戶數的 0.02%)的客戶支援資料遭到檢視。
影片截斷後,同一犯罪集團隨即開始展開勒索,威脅若不滿足要求將向媒體與社群平台公開相關影片。
Kraken 的核心立場:不談判、不付款
Percoco 的公開宣告直接回應了勒索訴求。Kraken 的立場是:「我們的系統從未遭到入侵;資金從未處於風險之中;我們不會向這些罪犯支付贖金;我們永遠不會與惡意行為者談判。」並稱 Kraken 不會資助犯罪者。
我們可以回想到 2024 年,審計公司 CertiK 在 Kraken 漏洞賞金計劃期間被指控實際提走約 300 萬美元資金後再要求賞金,Kraken 同樣拒絕支付、公開指控對方為敲詐行為。這兩次事件距離將近兩年,Kraken 的態度還是沒變。
弱點在人,不在系統
這次事件顯示遭存取的是客戶支援資料,不是核心交易系統,也不是資金層。換句話說,攻擊者取得的是支援介面(Support)的查閱許可權,等於是客服部門人員常見的權限。這不是對帳戶餘額或私鑰的控制能力,所以對企業的傷害範圍還不算深度。
Kraken 指出,這類針對從業員工的滲透手法在多個產業都有紀錄,加密行業不是唯一受害的,例如遊戲業與電信業也受到相同模式的組織犯罪波及。
另一家 Coinbase 也發生過印度外包支援團隊被收買、導致客戶資料外洩的案例,本質上屬於同類攻擊路徑,組織犯罪直接接觸人,而不是對既有的安全系統破壞。
後續進展尚待確認
Kraken 表示目前已收集到足夠證據,正與多個司法管轄區的聯邦執法機構及產業夥伴合作。但具體涉案人數、犯罪集團身份,目前均未正式披露。
📍相關報導📍
Kraken 交易所安全部門揭露「Trezor冷錢包」漏洞:僅花 15 分鐘就成功破解駭入
從Bybit駭客攻擊事件看交易所安全:安全與合規如何引領平台健康發展?
