簡単にまとめると:

• クラーケンの最高セキュリティ責任者ニック・ペルココ氏は水曜日、同社のウォレットから300万ドルが盗まれたと述べた。

• このバグにより、誰でもプラットフォームへの入金を開始し、完了せずに資金を受け取ることができました。

• ペルココ氏は、クラーケンが攻撃の潜在的規模を公表するまで、非公開の企業と関係のある3人が資金の返還を拒否したと述べた。

ブロックチェーンセキュリティ会社がXで公開した情報資料によると、CertiKと暗号通貨取引会社Krakenは、過去数日間、バグ報奨金をめぐる争いを繰り広げていた。

CertiKは6月5日、クラーケンの預金システムに脆弱性があり、偽造された仮想通貨を引き出して有効な仮想通貨に換金できる状態になっていることを発見したと発表した。

この暗号資産セキュリティ会社は6月5日に200マティックを入金し、その2日後に9万マティックを引き出した。その後、大幅に多額の入金を行い、6月9日にさらに多額の金額を引き出したと、同社はXの投稿で主張した。

出典: Certik on X

CertiKはXのテスト結果について次のようにコメントしている。「Kraken取引所はこれらすべてのテストに合格しなかった。これはKrakenの多層防御システムが複数の面で危険にさらされていることを示す。数百万ドルがどのKrakenアカウントにも入金される可能性がある。」

「偽造された大量の仮想通貨（100万ドル以上の価値）がアカウントから引き出され、有効な仮想通貨に変換される可能性があります。さらに悪いことに、数日間のテスト期間中にアラートはトリガーされませんでした。Krakenは、私たちが事件を正式に報告してから数日後にようやく対応し、テストアカウントをロックしました。」

クラーケンの最高セキュリティ責任者ニック・ペルココ氏は、同社が1時間47分以内に「バグをトリアージ」し、数時間以内に問題を完全に修正できたと述べた。

同氏はバグの状況について次のように述べた。「当社のチームは、資産が清算される前にクライアントの口座に即座に入金されるという最近のUXの変更に起因する欠陥を発見しました。これにより、クライアントは仮想通貨市場でリアルタイムに効果的に取引できるようになります。このUXの変更は、この特定の攻撃ベクトルに対して徹底的にテストされていませんでした。」

ペルココ氏は、さらなる調査により、3つのアカウントがすでにこのバグを悪用して4ドル相当の仮想通貨をアカウントに入金していたことが判明したと述べた。これは、クラーケンチームにバグ報奨金報告書を提出するのに十分であり、仮想通貨取引所のバグ報奨金プログラムから多額の報酬を得るには十分だったはずだ。

「その代わりに、『セキュリティ研究者』は、一緒に働いている他の2人の個人にこのバグを漏らし、不正に多額の金銭を稼いだ。彼らは最終的に、クラーケンの口座から300万ドル近くを引き出した。これはクラーケンの金庫からのものであり、他の顧客資産からのものではない。」

ペルココ氏によると、資金を返還するために報告書を提出する協議を行ったが、研究者らは拒否し、この出来事を「恐喝」と非難した。

CertiK社は、脆弱性の特定と修正に関する最初の取り組みが成功した後、クラーケンのセキュリティ運用チームがCertiKの従業員個人に対し、合理的な期限や返済先を与えることなく、一致しない仮想通貨の金額を返済するよう脅迫したと述べた。

常に最新の情報を入手しましょう:

このリンクを使用してニュースレターを購読してください。スパムメールは送信されません。

XとTelegramでフォローしてください。

暗号セキュリティ企業CertiKとKrakenが300万ドルの流出の中でバグ報奨金争いをしているという記事が最初にNFTgatorsに掲載されました。