不少科技公司會對外提出懸賞，希望世界各地的白帽黑客(擁有高道德的黑客)為自家產(chǎn)品做滲透測試，以此修彌漏洞來讓產(chǎn)品更加完善，這類和外界離散的技術(shù)人員、工程師的互動，也形成業(yè)界的良性循環(huán)。

而加密產(chǎn)業(yè)內(nèi)也不乏這種例子，許多交易所、公鏈項目、鏈上協(xié)議都提出過高額獎金作為漏洞懸賞；但知名白帽黑客Corben Leo在18日公開了他先前找出KuCoin交易所的個資外泄漏洞，原本最高懸賞100萬美元的獎金，Corben收到的獎金僅為5,000美元，他不禁抱怨「是漏掉一個零嗎?」

Corben Leo查出KuCoin個資外泄

現(xiàn)年23歲的Coben Leo曾替Google、Microsoft、Apple、Yahoo、美國國防部、ASUS、Nike等知名公司找出產(chǎn)品漏洞，身為白帽黑客的他，同時也對區(qū)塊鏈與加密產(chǎn)業(yè)安全問題相當(dāng)關(guān)注。

根據(jù)Coben Leo的文章描述，在3月底，他發(fā)現(xiàn)KuCoin交易所在Web3漏洞懸賞平臺HackenProof發(fā)布最高額100萬美元的獎金，在與HackenProof確認(rèn)后，Coben Leo決定測試KuCoin是否有漏洞。

在注冊Kucoin后，Coben利用安全測試工具Burp Suite開始分析Kucoin的http request，意外發(fā)現(xiàn)KuCoin所使用的云端客服服務(wù)Zendesk存在權(quán)限漏洞，讓他能以沒有管理員權(quán)限的情況下，利用KuCoin當(dāng)作代理，取得API權(quán)限調(diào)閱KuCoin的客服內(nèi)容(ticket)，甚至是每個利用客服開票的用戶完整個資，包括IP、賬號資訊，數(shù)量超過27萬筆。

Coben Leo在文章內(nèi)不禁抱怨「我覺得他們少了一個零…」

在與KuCoin提出抗議后，Coben Leo并未得到回復(fù)，與HackenProof平臺展開調(diào)解后，也未得到回應(yīng)。Coben提到這個漏洞因為不能觸及錢包，并不會影響KuCoin的金融功能。但對這個「懸賞計劃」相當(dāng)不滿的他，在文末狠狠酸了KuCoin和HackenProof一頓：如果你想去黑HackenProof，千萬不要，因為我也不認(rèn)為KuCoin是間交易所。(意指他不認(rèn)為HackenProof是個黑客平臺)

獎金起爭議

在4月18日，Coben Leo向KuCoin通知了這個漏洞，23日，KuCoin向他回應(yīng)：嗨先生，這個問題已經(jīng)被修復(fù)，在我們團隊討論后，結(jié)果如下，信息外泄的影響層面：部分用戶的姓名與email信息被外泄(不是每個人都使用Zendesk，所以外泄數(shù)量有限)。所以這個漏洞評比未到嚴(yán)重等級，獎金細(xì)節(jié)為：信息外泄獎金2000美元、Zendesk API未授權(quán)連線獎金3000美元，總獎金5000美元。