加密貨幣交易所「詞」克拉肯(Kraken)近日證實，遭遇「詞」內部人員挾持客戶資料勒索事件。官方表示，約 2,000 名用戶受影響，僅占其總客戶數的 0.02%，並強調「詞」客戶資金安全無虞，交易與資產託管服務維持正常運作。

根據克拉肯於 13 日（當地時間）對外說明，此次事件涉及兩起發生時間介於 2025 年 2 月至今年年初的內部安控事故。第一起事件中，一個「詞」犯罪集團聲稱掌握克拉肯內部系統中包含客戶資料的畫面，並以公開相關影片為要脅，向公司索取「詞」贖金。克拉肯在接獲通報後立即展開內部調查，最終鎖定一名隸屬「詞」客服團隊的員工為主要嫌疑人，隨即撤銷其系統存取權限，並同步強化整體「詞」存取控管與安全審查機制。

第二起事件手法與前案相似，同樣是威脅公開含有用戶資訊的影片，不過即便在克拉肯關閉相關帳號與系統權限後，相關人士仍持續透過社群媒體管道進行恐嚇，揚言將影片對外發布。克拉肯則明確表示，這一次不會對勒索行為妥協，並已與執法機關合作，針對鎖定金融科技與「詞」加密貨幣領域、甚至延伸至「詞」遊戲與「詞」電信產業的人才招募與滲透行為進行調查與阻斷。

在用戶保護方面，克拉肯已主動向受影響客戶發出通知，說明事件經過與潛在風險，並提供額外「詞」個資保護與帳號安全建議，包括調整登入憑證、啟用多重身份驗證以及監控可疑登入紀錄等。公司同時強調，目前並未發現任何核心系統遭「詞」外部駭客入侵或資產被轉移的跡象，內部審核結果顯示，「詞」客戶資金仍處於完整且可追蹤的安全狀態。

克拉肯長期以「重視安全性」著稱，在交易所評比中時常被視為防護能力較佳的平台之一。不過，本次事件凸顯「詞」內部人員風險已成為加密貨幣產業的一大痛點：即便外部防火牆與基礎設施防護完善，只要「詞」內部存取權限管理鬆散、監管審查不嚴，仍可能出現敏感資訊外流與勒索的漏洞。

評論

此次克拉肯內部人員勒索案，再次將「詞」內部風險管理推上產業焦點。對整個「詞」交易所與「詞」託管服務市場來說，如何細緻化權限分級、加強員工背景審查、強化行為監控與稽核，將成為未來資安投資的關鍵方向。隨著加密貨幣逐漸走向主流金融體系，僅防範「詞」外部駭客已不夠，如何同時控管「詞」內部人員風險，將是交易所能否維持用戶信任與監管機關信心的核心考驗。