暗号通貨取引所のクラーケンは最近、重大なバグによりアカウントから300万ドル近くが盗まれたと報告した。この問題は最近のユーザーエクスペリエンスアップデートで導入された欠陥から生じており、攻撃者は預金が完全に清算される前にアカウントに入金することができた。
バグの発見
この脆弱性は、悪意のあるユーザーが一時的に「資産を印刷」できる可能性があるとされています。Kraken の最高セキュリティ責任者 Nick Percoco 氏によると、セキュリティ侵害は発見後数時間以内に封じ込められました。
このバグは、6月9日にバグ報奨金プログラムを通じてKrakenに初めて報告されました。最初の報告には詳細な情報が欠けていましたが、Krakenは直ちに調査を開始しました。
この調査により、悪意のある者が不完全な入金を開始して不正に資金を受け取ることができる孤立した事件が明らかになった。Percoco は、この脆弱性は特定の条件下で発生したものであり、顧客資産が直接危険にさらされるものではないと明言した。
KrakenはXで悪用されたことを明らかにした
その後のシステムの整合性に関する調査で、バグが正式に報告される直前に、3 つの別々のアカウントによって脆弱性が悪用されていたことが判明しました。これらのアカウントは、偶然にも数日間に渡って行われた一連の取引で、多額の金銭を吸い上げました。
Percoco は、バグを報告した個人が当初、バグの存在を証明し、バグ報奨金プログラムを通じて報酬を確保するため、自分のアカウントに 4 ドルを入金して欠陥をテストしていたことを明らかにした。
しかし、後にこの人物が脆弱性の詳細を秘密にせず、2人の仲間と共有していたことが判明しました。その後、この協力者はクラーケンの準備金から直接、合計約300万ドルを引き出しました。
ペルココは、これらの資金は他の顧客口座からのものではないと強調した。この事件を受けて、クラーケンは活動の詳細な説明と盗まれた資金の返還を要求した。
しかし、被告側は資金の支払いを差し控え、もし未公開のままであった場合の不正利用の潜在的範囲をまず明らかにするようクラーケンに要求している。
クラーケンの対応と法的措置
研究者らがクラーケンの資金返還要求を「不合理」かつ「非専門的」と評したことで、この状況は悪化した。
その結果、クラーケンはバグ報奨金の条件違反を理由に、関係する研究会社を公表しないことを選択し、その行為は非倫理的であるだけでなく犯罪的であると主張した。
同取引所は現在、法執行機関と連携してこの問題を刑事事件として扱っており、関与した企業の行為に対するいかなる認知も拒否している。
クラーケンでのこの不幸な出来事は、デジタル資産の脆弱性の広範な状況をさらに悪化させ、2024年には暗号資産のハッキングが増加すると予想されます。
脆弱性別の暗号通貨損失の内訳
Merkle Scienceの「2024 Crypto HackHub Report」によると、2024年第1四半期だけでハッカーが5億4,270万ドル相当のデジタル資産を盗み、2023年の同時期と比べて42%増加した。
業界では、こうしたセキュリティ侵害の性質が変化していることに注目しており、現在では秘密鍵の漏洩がスマート コントラクトの悪用を上回り、主な原因となっている。この傾向は、スマート コントラクトの脆弱性が支配的だった過去数年とは対照的である。
報告書ではまた、スマートコントラクトの脆弱性による損失が大幅に減少したことも強調されており、2022年の26億ドルから2023年には92%減の1億7900万ドルに減少した。それにもかかわらず、2023年にハッキングされたデジタル資産の55%以上は秘密鍵の漏洩に起因しており、暗号通貨セクターにおけるセキュリティ上の課題が依然として残っていることを浮き彫りにしている。
過去 13 年間で、業界では 785 件のハッキングやエクスプロイトが報告され、約 190 億ドルの損失が発生しており、全般的にセキュリティ対策を改善することが急務となっていることが示されています。
ハッカーがKrakenのバグを悪用し、約300万ドルを盗むという記事が最初にCoinfomaniaに掲載されました。