• クラーケンは、第三者のセキュリティ研究者が脆弱性を発見し、仮想通貨取引所がそれを修正したと述べた。

• クラーケンによると、研究者らは300万ドル近くを秘密裏に引き出し、報奨金の額を確認せずに返還を拒否したという。

• クラーケンは、研究者らがプログラムの規則に従わなかったため、報奨金を支払わないと指摘した。

仮想通貨取引所クラーケンは、同プラットフォームの脆弱性を発見した「セキュリティ研究者」らが同取引所の資金から約300万ドルを引き出した後、「恐喝」に手を染めたと発表した。

クラーケンの最高セキュリティ責任者ニック・ペルココ氏は、ソーシャルメディアプラットフォームX（旧ツイッター）の投稿で、同社が6月9日にセキュリティ研究者から「バグ報奨金プログラム」の警告を受けたと述べた。この脆弱性は、ユーザーが人為的に残高を膨らませることができるというもの。このバグにより、「悪意のある攻撃者は、適切な状況下で、当社のプラットフォームに入金を開始し、入金を完全に完了することなく、自分のアカウントに資金を受け取ることができました」とペルココ氏は付け加えた。

Kraken セキュリティアップデート: 2024 年 6 月 9 日、セキュリティ研究者からバグバウンティ プログラムの警告を受け取りました。当初は詳細は明らかにされていませんでしたが、電子メールには、当社のプラットフォーム上の残高を人為的に膨らませることができる「極めて重大な」バグが見つかったと記載されていました。

— ニック・ペルココ (@c7five) 2024年6月19日

報告を受けてクラーケンは迅速に問題を修正し、ユーザーの資金には影響がなかったとペルココ氏は指摘した。

その後の出来事は、クラーケンのチームにとって警戒すべき事態となった。

セキュリティ研究者はバグを発見すると、それを他の2人に漏らしたとされ、その後、2人はクラーケンの口座から300万ドル近くを「不正に」引き出した。「これはクラーケンの金庫からのもので、他の顧客資産からの引き出しではない」とペルココ氏は述べた。

最初のバグ報告では他の2人の取引については触れられておらず、クラーケンが彼らの活動の詳細を尋ねたところ、彼らは拒否した。

「それどころか、彼らはビジネス開発チーム（つまり営業担当者）との電話会議を要求し、このバグを公表していなかった場合に発生したであろう推定金額を提示するまで、資金を返還することに同意しませんでした。これはホワイトハットハッキングではなく、恐喝です！」とペルココ氏は書いている。

多くの企業がセキュリティシステムを強化するために使用しているバグ報奨金プログラムは、「ホワイトハット」と呼ばれる第三者のハッカーを招いて脆弱性を発見させ、企業が悪意のある人物に悪用される前に修正できるようにするものだ。クラーケンのライバルであるコインベースも、取引所に脆弱性を警告する同様のプログラムを実施している。

クラーケンのプログラムでは、報奨金を受け取るためには、第三者が問題を発見し、バグを証明するのに必要な最小限の量をエクスプロイトし、資産を返却し、脆弱性の詳細を提供することが求められているとクラーケンはブログ投稿で述べ、セキュリティ研究者がこれらのルールに従わなかったため報奨金は受け取れないと付け加えた。

「当社は誠意を持ってこれらの研究者と協力し、10年間のバグ報奨金プログラムの運営に沿って、彼らの努力に対してかなりの額の報奨金を提供してきました。今回の経験に失望しており、現在、これらのセキュリティ研究者から資産を取り戻すために法執行機関と協力しています」とクラーケンの広報担当者はCoinDeskに語った。

続きを読む: 暗号プロジェクトに必要なのは賞金稼ぎではなく保安官