世界有数の暗号通貨取引所である Kraken は最近、重大なセキュリティ上の課題に直面しました。このプラットフォームは、デジタル資産の不正作成を可能にする重大な脆弱性についてセキュリティ研究者から警告を受けました。この事件は、デジタル資産プラットフォームが堅牢なセキュリティ対策を維持する上で直面している継続的な課題を浮き彫りにしています。
情報提供を受けたクラーケンのセキュリティチームは、この問題をよくある誤報と区別して迅速に調査しました。特定されたバグは特に深刻で、ユーザーは実際に資金を送金することなく入金を登録し、対応するクレジットを自分のアカウントに受け取ることができました。
この欠陥は、入金の確認前にユーザー アカウントに時期尚早に入金されるという最近のユーザー エクスペリエンス アップデートに起因しており、デジタル資産が何もないところから「印刷」されるという仮想的なリスクをもたらしました。
影響と取られた措置
調査の結果、内部告発者のアカウントを含め、バグを悪用したアカウントは3つだけであることが判明した。研究者は少額の仮想通貨を作成することでこの脆弱性を実証したが、Krakenのバグ報奨金プログラムを通じてこれを公式に報告することはなかった。
その代わりに、彼らはその方法を他の2つの当事者に開示し、その後、その脆弱性を悪用して数百万ドル相当の暗号通貨を引き出し、最終的に合計約300万ドルの不正引き出しに至った。
クラーケンの最高セキュリティ責任者ニック・ペルココ氏は、重要な取引の詳細が欠落した不完全な初期報告があったため、状況に対処するのが困難であると指摘した。
Kraken セキュリティアップデート: 2024 年 6 月 9 日、セキュリティ研究者からバグバウンティ プログラムの警告を受け取りました。当初は詳細は明らかにされていませんでしたが、電子メールには、当社のプラットフォーム上の残高を人為的に膨らませることができる「極めて重大な」バグが見つかったと記載されていました。
— ニック・ペルココ (@c7five) 2024年6月19日
研究者らは資金を返還するのではなく身代金を要求し、バグが引き起こした可能性のある経済的損害に基づいた支払いを提案したため、研究者らとの対話は行き詰まった。
クラーケンは、これらの要求を恐喝とみなし、関与したセキュリティ会社の名前を公表することを拒否し、この問題を刑事事件として扱い、法的措置を進めている。同社は、いかなる時点でも顧客の資産が侵害されていないことをユーザーに安心させた。