防骇客防不了内鬼！Kraken 遭勒索拒付赎金，追凶竟揪出「自家人」

勒索威胁踢到铁板，Kraken 强硬表态绝不支付赎金

加密货币交易所 Kraken 近期面临一场针对内部系统数据的勒索挑战，但该公司选择以强硬姿态正面迎击。根据 Kraken 安保长（CSO）Nick Percoco 在社交平台 X 上的公开发言，一个未具名的犯罪集团声称掌握了该公司内部系统运作的影片，并试图勒索一笔金额不详的赎金。

该集团威胁若 Kraken 不配合要求，将会把包含客户数据在内的内部影像发布至社交媒体与新闻机构。面对这种典型的数位威胁，Nick Percoco 的回应相当果决，他直接表明公司绝不与犯罪者进行谈判，并强调永远不会支付赎金给恶意行为者。这种拒绝妥协的态度在加密产业中具有指标意义，因为支付赎金往往会助长犯罪集团的气燄。

Kraken 重申，尽管对方持有部分影像，但公司的核心系统从未遭破获，使用者的资金与交易安全依然稳固。

两起内部权限滥用事件，两千名使用者受影响但资产安全

这起勒索风暴的源头，源自两起涉及内部人员权限滥用的安全事件。 Kraken 指出：

1. 第一起事件发生于 2025 年 2 月，当时公司收到线报，得知在某些犯罪论坛上流传著疑似展示 Kraken 客户支援系统后台的影片。经过内部深入调查，公司迅速锁定了一名隶属于支援团队的员工，并立即撤销其所有存取权限。
2. 而在近期，Kraken 又收到了类似的提示与影片，显示有另一名工作人员发生了不当存取客户数据的行为。这两起事件总共涉及约 2,000 名使用者的帐号资料，占其全球数百万使用者群体中仅约 0.02% 的比例。

此次事件源于内部人员违规操作支援工具，并非核心交易系统遭到外部骇客入侵。受影响的资讯大多属于客服支援相关的读取权限资料，而非敏感的财务控制权或私钥。目前，Kraken 已逐一通知受影响使用者，并进一步加强了内部系统的监控与存取限制。

内贼难防成为产业挑战，社交工程与内应招募风险升温

Kraken 的遭遇并非个案，这凸显了目前加密货币产业正面临一种新型态的安全威胁，犯罪集团转向高额贿赂或诱骗加密企业、游戏公司甚至是电信业者的内部员工，使其成为获取系统资讯的内应。

以另一家交易所龙头 Coinbase 为例，其在 2025 年 5 月也曾遭遇类似的勒索，当时犯罪者透过贿赂外包客服人员获取了约 7 万名使用者的资料，并借此向 Coinbase 勒索 2,000 万赎金。此外，数位资产公司 Galaxy Digital 最近也处理了一起未经授权存取开发环境的安全事故。

• 相关新闻： 恐酿 4 亿美元损失！Coinbase 爆「内鬼」外泄用户个资、悬赏 2 千万美元抓骇客

根据区块链情报公司 Nominis 的数据，光是 2026 年 3 月，加密产业因各类攻击造成的损失就高达 1.78 亿美元，较 2 月份的 4,930 万美元大幅成长。犯罪分子利用内部人员进行侦查录影或权限滥用的手段日益频繁，这种针对人性弱点进行攻击的策略，往往比纯技术破解更具威胁性。

联手执法机关展开反击，Kraken 同时面临政治监管审查

在拒绝支付赎金的同时，Kraken 已经积极转守为攻，联手多个司法辖区的联邦执法机关展开跨国调查。 Nick Percoco 透露，目前公司掌握的证据足以协助辨认并逮捕这些躲在幕后的犯罪分子。这场安全保卫战不仅关乎数据防御，也是一场法律与公义的较量。

然而，在处理外部威胁的同时，Kraken 在国内也面临著来自政界的审视。美国众议员玛克辛・沃特斯（Maxine Waters）近期向堪萨斯城联邦储备银行提出质疑，要求解释为何决定授予 Kraken 这种加密货币交易所「有限用途帐户」。这类帐户能让 Kraken 接入联邦储备系统运行的美国支付体系，但沃特斯担心这会引发难以预料的金融风险。

• 相关新闻：Kraken 可接入联准会系统！美议员：这合法吗？要求说明法律依据

Kraken 在应对数位犯罪者的勒索之际，也必须在高度透明的监管环境下证明其营运的稳定性与安全性。对于这家创立于 2011 年的老牌交易所而言，这是一次从内部管理、技术防御到政治公关的全方位压力测试。