知名金融科技公司漏洞遭利用，近1.5億元資金失竊

安全內參7月11日消息，多位知情人士透露，英國知名金融科技公司Revolut的美國支付系統在去年爆出漏洞，網絡犯罪分子在數月內盜取了該公司超過2000萬美元資金（約合人民幣1.44億元），直到Revolut封堵漏洞才停止。

這一事件尚未公開披露，很可能給這家市值高企的金融科技公司帶來更多壓力。目前，Revolut正在等待英國下發銀行牌照，卻面臨多位高管離職、德豪國際會計師事務所（BDO）出具有保留意見的審計報告等問題。

據三位知情人士透露，該漏洞源自歐美支付系統的差異。具體而言，某些交易被拒絕時，Revolut會錯誤地向賬戶退款，將自己的資金交給賬戶所有人。

雖然Revolut已經追回一部分被盜資金，挽回了大約2300萬美元損失，但據這些人士透露，凈損失仍然高達2000萬美元，相當于Revolut 2021年凈利潤的三分之二。

該漏洞最早在2021年末零星出現利用情況。隨后，有組織的犯罪團伙在2022年初實施了大規模濫用，它們慫恿顧客下單購買昂貴的商品。這些訂單將被拒絕，退款可通過自動取款機提現。

這種欺詐行為不會影響顧客賬戶，而會竊取Revolut自有企業資金。Revolut系統未能發現這些大規模欺詐行為。后來，一家美國合作銀行通知Revolut，發現其現金持有量低于預期。直到這時，問題才浮出水面。此后，Revolut的美國子公司要求母公司注入數百萬美元現金。資金到位后，該公司經過努力，最終在2022年春季封堵了這個漏洞。

Revolut拒絕對此案發表評論，在其推遲公布的2021年財報中也沒有具體披露此次盜竊造成的損失。 

Revolut內部治理問題重重

兩年前，Revolut首次宣布申請英國銀行牌照。審批流程通常只需要不到一年時間。然而，兩年多過去了，牌照依然未能下發。

2020年，英國金融行為監管局（FCA）下令對Revolut的金融犯罪防范和發現政策進行獨立審查。德豪國際會計師事務所警告稱，Revolut的收入可能存在“重大錯報”，該公司2021年報告收入中有2/3無法證明已經“發生”，且無法通過“完整性”認定。

近幾個月，Revolut多位知名高管離職，包括其英國銀行首席執行官James Radford和首席財務官Mikko Salovaara。Revolut首席幕僚兼銀行產品負責人Joel Kass也將離職。加入Revolut前，Joel Kass在英格蘭銀行工作了三年，其中一年擔任新興銀行監管員。

風險投資公司Molten Ventures和資產管理公司Schroders分別調減了對Revolut的股權估值，降幅分別為40%和46%。Revolut在2021年7月的最后一次外部估值為330億美元，成為英國最有價值的私營科技集團。這一地位于2022年1月被估值400億美元的Checkout.com取代。