TLDR
Kraken は、ユーザーが残高を人為的に膨らませ、入金を完了せずに資金を引き出すことを可能にするバグを発見しました。
ブロックチェーンセキュリティ企業CertiKは、このバグを悪用してクラーケンの資金から約300万ドルを引き出した「セキュリティ研究者」であると自称している。
クラーケンは、CertiKが潜在的な損失の見積もりを提示するまで資金の返還を拒否したと主張し、これを「恐喝」と呼んでいる。
CertiKは、脆弱性の範囲をテストしていたこと、そしてKrakenが不合理な期間内に不一致の金額の資金を返還するよう従業員に脅迫したことを述べて、自らの行動を弁護した。
この事件は、暗号通貨業界におけるホワイトハットハッキングとバグ報奨金プログラムの倫理性に関する議論を巻き起こした。
仮想通貨取引所クラーケンは最近、ユーザーが口座残高を人為的に膨らませ、入金を完了せずに資金を引き出すことができるセキュリティ上の脆弱性の被害に遭ったことを明らかにした。同取引所は、この脆弱性の悪用により、金庫から約300万ドルが盗まれたと報告した。
ブロックチェーンセキュリティ企業CertiKが名乗り出て、バグを悪用して資金を引き出した「セキュリティ研究者」であると名乗り出た。
クラーケンの最高セキュリティ責任者ニック・ペルココ氏は以前、バグが公表されなかった場合の潜在的損失の見積もりを取引所が提示するまで資金の返還を拒否したとして、当時名前が明かされていなかったセキュリティチームを「恐喝」だと非難していた。
Kraken セキュリティアップデート:
2024 年 6 月 9 日、セキュリティ研究者からバグバウンティ プログラムの警告を受け取りました。当初は詳細は明らかにされていませんでしたが、電子メールには、当社のプラットフォーム上の残高を人為的に膨らませることができる「極めて重大な」バグが見つかったと記載されていました。
— ニック・ペルココ (@c7five) 2024年6月19日
しかしCertiKは、脆弱性の範囲をテストしていたこと、そしてKrakenが返済先も示さずに不合理な期限内に不一致の金額を返済するよう従業員に脅迫したことを主張し、自らの行動を擁護した。
CertiK は最近、@krakenfx 取引所に数億ドルの損失につながる可能性のある一連の重大な脆弱性を発見しました。
@krakenfx の預金システムで、異なる内部の区別ができない可能性があるという発見から始まりました… pic.twitter.com/JZkMXj2ZCD
— CertiK (@CertiK) 2024年6月19日
セキュリティ企業は、クラーケンとのやり取りと脆弱性の発見の詳細を記したタイムラインを公開した。
CertiKによると、この脆弱性により、数百万ドルがKrakenのアカウントに入金され、偽造された暗号通貨を引き出して有効な暗号通貨に変換することが可能になったという。
同社はまた、数日に渡るテスト期間中にアラートは発動されず、クラーケンは最初の情報開示から数日後にようやく反応し、テストアカウントをロックしたと主張した。
この事件は、ホワイトハットハッキングの倫理性とバグ報奨金プログラムの有効性についての議論を巻き起こした。
CertiK の行動は脆弱性を徹底的にテストするという点で正当であると主張する人がいる一方で、多額の資金を引き出し、すぐに返還することを拒否したことで同社が限度を超えたと考える人もいる。
クラーケンは、CertiKの行為はホワイトハットハッキングの原則に反しており、資産の回収に法執行機関と協力していると主張している。また、盗まれた資金はクラーケン自身の金庫から出たものであるため、この攻撃によってユーザーの資金が影響を受けていないことも強調した。
バグ報奨金制度の失敗:Kraken が CertiK を恐喝で告発、CertiK は自らの行為を擁護、という記事が最初に Blockonomi に掲載されました。