バグ報奨金制度の失敗:暗号通貨取引所クラーケンが研究者を恐喝で告発
驚くべき展開で、暗号通貨取引所クラーケンは、セキュリティ研究者のバグレポートが暗い方向へ向かうという状況に巻き込まれている。
6月9日、セキュリティ研究者を名乗る匿名の人物が、クラーケンに重大なセキュリティ上の欠陥があると警告した。しかし、クラーケンの最高セキュリティ責任者ニコラス・ペルココ氏によると、研究者と関係のある2つのアカウントがこのバグを悪用し、300万ドル以上のデジタル資産を盗んだことで、事態は急激に悪化した。
研究者は、脆弱性を報告してクラーケンの既存のバグ報奨金プログラムを通じて報酬を受け取るのではなく、取引所の営業チームとの面談を要求し、盗まれた資金の返還を拒否した。パーココは6月19日の投稿で、これらの行為を強く非難し、「これはホワイトハットハッキングではなく、恐喝だ!」と述べた。
Kraken は、この事件でユーザーの資金が侵害されたことはないと強調しています。盗まれた暗号通貨は、取引所の金庫から直接出てきました。Kraken は、盗まれた資金を取り戻し、犯人を追及することを決意し、法執行機関と緊密に連携しています。
この攻撃に使用された3つのKrakenアカウントのうち1つは顧客確認(KYC)を完了しているが、その個人の正体は不明のままである。最初の接触では4ドルの小額送金で欠陥が証明されたが、これはKrakenのバグ報奨金プログラムで多額の報奨金を受け取るのに十分な証拠である。しかし、その後の2つの別のアカウントの関与と、はるかに多額の金銭の盗難は、研究者の真意について深刻な疑問を投げかけている。
このネガティブな経験にもかかわらず、Kraken はセキュリティ戦略の要であるバグ報奨金プログラムに引き続き力を入れています。Percoco 氏は「透明性の本質として、私たちは本日このバグを業界に開示します」と強調しています。さらに、盗まれた資金の返還を求めることでプロ意識の欠如を非難されたことに信じられない思いを表明しています。
暗号通貨のセキュリティに関する懸念: 変化する状況
この事件は、暗号資産のセキュリティ脅威の進化を浮き彫りにしています。2022年はスマートコントラクトの脆弱性が大きな懸念事項でしたが、Merkle Scienceの「2024 Crypto HackHub Report」は憂慮すべき傾向を示しています。暗号資産のハッカーやエクスプロイトは2024年に成功を収めているようで、第1四半期に盗まれたデジタル資産は、2023年の同時期のそれをすでに42%も上回っています。特に、秘密鍵の漏洩がこれらのエクスプロイトの主な原因として浮上し、スマートコントラクトの脆弱性を上回っています。