仮想通貨取引所クラーケン、セキュリティ上の欠陥を悪用され300万ドルの損失を被る は、Coinpedia Fintech News に最初に掲載されました。
世界有数の暗号通貨取引プラットフォームであるKrakenは最近、ゼロデイ脆弱性を悪用して数百万ドル相当の暗号通貨を盗んだ攻撃の被害に遭ったことを認めた。
エクスプロイトが明らかに
Krakenは2024年6月9日にバグバウンティ研究者から、ネットワークの重大な脆弱性について警告するメールを受け取りました。Krakenの最高セキュリティ責任者であるニック・ペルココ氏が説明したように、この欠陥により、攻撃者はサイトのバランスシートの数字を実際の資金ではサポートされないレベルまで操作することができました。
この重大な脆弱性により、攻撃者は入金処理がまだ完了していない状態でも、アカウントに入金したり、アカウントからお金を引き出すことが可能になりました。
迅速な対応だが十分ではない
Kraken は警告に対応し、47 分以内にセキュリティ問題を解決することができました。この問題は、しばらく前に導入された新しいユーザー インターフェイスに起因しており、このインターフェイスにより、決済機関が入金を確認する前に顧客が入金して資金を利用することが可能になりました (確認された場合は未確認)。
クラーケンは侵入中に顧客の現金は失われなかったと述べているが、このバグにより悪意のある人が偽の現金を預け入れたり引き出したりすることが可能になった。
このケースでは、3 つのアカウントが 1 週間以内に同じ動きを試み、そのすべてが取引所から 300 万ドルを送金しようとしました。これらのアカウントのうち 1 つは、最近このバグを報告したセキュリティ研究者が所有していました。
最初に特定された脆弱性については、それを悪用しようとした人物が問題を説明するために4ドルの暗号通貨を投資しており、これはバグ報奨金の報告とその後の報酬に十分な額かもしれないとPercoco氏はコメントした。しかし、研究者はバグの詳細を他の2人の参加者に渡すことに決め、2人は合わせてKrakenの金庫から300万ドル近くを盗み出すことに成功した。
倫理的なジレンマか、それとも恐喝か?
クラーケンが盗まれた資金を返還し、概念実証(PoC)エクスプロイトを提供するよう個人にアプローチしたところ、研究者らは資産の返還と引き換えに支払いを要求した。パーココ氏はこの行為を恐喝行為として非難し、ホワイトハットハッキングの倫理原則に違反していると強調した。
クラーケンはこの事件を刑事事件として扱い、法執行機関と連携している。
こちらもお読みください: 衝撃的: 暗号通貨「豚の屠殺」詐欺が増加中! 知っておくべきこと