クラーケン、不正な「セキュリティ研究者」が300万ドルを不正に利用したバグを明らかに

米国を拠点とする取引所クラーケンは、匿名のセキュリティ会社がプラットフォームのバグを悪用したため、資金約300万ドルを失った。最高セキュリティ責任者のニック・ペルココ氏はXの投稿でこのことを明らかにし、セキュリティ会社は資金の返還を拒否し、現在は報奨金としてより高い支払いを要求していると述べた。

関連記事：暗号通貨取引所DMM Bitcoin、3億ドルのハッキング被害を受けたユーザーに返金すると誓う

これに対し、クラーケンは法執行機関に問題を報告し、犯罪として扱うとしている。しかし、同取引所は脆弱性はすでに解決されており、ユーザーアカウントに影響は出ていないと主張しているため、ユーザーは心配する必要はない。

クラーケンのバグにより紙幣印刷が可能に

Percoco によると、セキュリティ研究者が 6 月 9 日にバグ報奨金プログラムを通じて Kraken に重大なバグについて警告した。内部調査の結果、取引所のセキュリティ チームは、悪意のある人物が Kraken アカウントに入金を開始し、入金を完了せずに資金を受け取ることができる脆弱性を発見した。悪意のある攻撃者は、この脆弱性を利用して何百万ドルもの金を無から印刷できる可能性がある。

彼が説明した：

「私たちは、孤立したバグを発見しました。これにより、悪意のある攻撃者が適切な状況下で、当社のプラットフォームへの入金を開始し、入金を完全に完了することなく、自分のアカウントに資金を受け取ることができました。」

社内のセキュリティ チームは 47 分以内に問題を軽減し、数時間後には完全に修正しました。しかし、同社は、このバグが、資産が清算される前に顧客アカウントに入金できる UX の最近の変更によって生じたものであることを発見しました。この変更は即時取引を可能にするために統合されましたが、この種のリスクに対して十分にテストされていませんでした。

しかし、ペルココ氏は、この事件はユーザーの資産には影響せず、脆弱性の悪用はクラーケンの金庫にのみ影響したと付け加えた。

セキュリティ研究者は犯罪者だ

一方、脆弱性を分析したところ、3つのアカウントがこの欠陥を悪用したことが判明し、そのうちの1つのアカウントは、当初取引所に連絡を取ったセキュリティ研究者の名前で登録されていた。

関連記事：クラーケン、EUの新規制に対応してUSDTの上場廃止を検討

研究者のアカウントは、この欠陥を利用してバグが本物であることを証明するのに充分な 4 ドルを入金しただけでしたが、他の 2 つのアカウントは同じ脆弱性を利用して Kraken アカウントから 300 万ドル近くを引き出されました。興味深いことに、これらのアカウントはセキュリティ研究者の関係者と関連していました。

クラーケンは、研究者らがバグのリスクに見合った額の支払いを要求しているため、資金の返還を求める試みは無駄だったと説明した。

ペルココ氏はこれを恐喝行為と呼び、バグバウンティプログラムの原則に反すると述べた。同氏はさらに、ホワイトハットハッカーにハッキングの許可を与える規則に違反するとセキュリティ研究者は犯罪者となり、取引所は彼らをそのように扱っていると付け加えた。