この記事では、信じられない話についてお話します。数日前、監査会社 Certik が、暗号通貨取引所 Kraken のセキュリティ システムに深刻なハッキングにつながる可能性のある欠陥を発見しました。
3日間にわたっていくつかのテストを実施し、300万ドル相当の「ホワイトハック」攻撃を実行した後、CertikはKrakenに連絡してバグについて報告したが、当初は盗まれた金額をすぐに返還することを拒否した。
仮想通貨取引所は直ちに法執行機関に連絡し、この事態を刑事事件として扱っているが、暗号セキュリティ会社は、これは「報奨金プログラム」の典型的なテストであると主張している。現在、資金は返還されたようだ。
以下で詳細を見てみましょう。
暗号通貨取引所クラーケンへの300万ドルのハッキング:Certikが責任を負っているが、金銭の返還を拒否
この物語は、2024年6月9日に、仮想通貨取引所クラーケンが、大規模なハッキングを引き起こす可能性のあるプラットフォームの脆弱性を発見したと主張する「セキュリティ研究者」から非公式の連絡を受けたときに始まります。
クラーケンの最高セキュリティ責任者ニック・ペルココ氏の事後ツイートによると、研究者は預金のセキュリティシステムの欠陥(内部転送のさまざまな状態を区別できない)を指摘しており、これによりユーザーは残高を膨らませ、実際に利用可能なコインよりも多くのコインを引き出すことができる。取引所はすぐに問題解決に取り組み、わずか47分で専門家チームがバグを修正した。
Percoco の報告は次のとおりです。
「このバグにより、悪意のある攻撃者は、適切な状況下では、当社のプラットフォームに入金を開始し、入金を完全に完了することなく、自分のアカウントに資金を受け取ることができました。誤解のないよう申し上げますが、顧客の資産が危険にさらされたことはありません。」
Kraken セキュリティアップデート:
2024 年 6 月 9 日、セキュリティ研究者からバグバウンティ プログラムの警告を受け取りました。当初は詳細は明らかにされていませんでしたが、電子メールには、当社のプラットフォーム上の残高を人為的に増やすことができる「極めて重大な」バグが見つかったと記載されていました。
— ニック・ペルココ (@c7five) 2024年6月19日
これまでのところ、すべて正常だが、Krakenに連絡を取った研究者が勤務する同じセキュリティ会社web3が、バグを正式に報告する前に、プラットフォーム上で数回のハッキングを実行し、総額300万ドルを詐取していた。
Percoco の投稿が公開された直後、有名な監査会社 Certik が直ちにこの事件の責任を認め、この件における自社の重要な役割を明らかにした。
Certikは、大規模な攻撃を実行し、3つの異なるアカウントから大量のMATICトークンを引き出し、その後Tornado Cashミキサーを通じて資金の痕跡を消去することで、Krakenの防御メカニズムを「テスト」したとされています。
取引所のセキュリティマネージャーが説明したように、問題を解決した後、KrakenはCertikに資金を返還するよう求めたが、彼女は当初拒否した。
それにもかかわらず、Certik は自社の活動が「ホワイトハック」の原則に沿ったものであると主張しています。
どうやら、Certik は、Kraken との通信の 3 日前に引き出しテストを実行していたにもかかわらず、この事件における 3 つのアカウントの悪用者の役割については言及しなかったようです。
このバグを発見したセキュリティ研究者は、大規模なハッキングにつながる可能性のある重大な欠陥を特定したことに対して多額の報奨金を要求したが、Krakenは資金の返還を主張した。
監査会社は盗品の返還を拒否し、実際にハッキングの証拠を隠そうとしていたようだったため、取引所は管轄当局と法執行機関に通報し、この状況を刑事事件のように扱うことを決定した。
Web3セキュリティ会社は、このバグが公開されていなかった場合に発生したと推測される金額と同額の報奨金を取引所に要求し、取引所プラットフォームチームを激怒させた。
ペルココは自身のXプロフィールで何が起こったかについてコメントし、セルティックの行動に対する反対の姿勢を示した。
「これはホワイトハッキングではなく、恐喝だ」。
この調査会社の行動は評価に値しないので、公表しません。私たちはこれを刑事事件として扱い、それに応じて法執行機関と連携しています。この問題が報告されたことに感謝はしていますが、それだけです。
— ニック・ペルココ (@c7five) 2024年6月19日
Certikによる否定:一部の従業員がKrakenチームから脅迫を受けたにもかかわらず、資金は返還された
Certikは、預金システムの欠陥を特定した企業であると自己紹介した後、Krakenの報告を即座に否定し、自社の「ホワイトハック」としての役割と前向きな意図を強調した。
同社は、取引所の防御力をテストする目的のみで、300万ドル相当の大規模なハッキングを仕掛けたことを明らかにしたが、盗んだ金の返還を拒否したことはなく、すべてが正しく実行されたことを確認したかったのだとも強調した。
サーティック氏は、このバグが引き起こした可能性のある悪影響に驚いたが、特にクラーケンの警報が一度も鳴らなかったという事実に驚いたと述べた。これは投稿で述べられている。
「数百万ドルがKrakenのどのアカウントにも入金される可能性があります。膨大な量の暗号通貨(100万ドル以上の価値)がアカウントから引き出され、有効な暗号通貨に変換される可能性があります。さらに悪いことに、数日間のテスト期間中、アラートはトリガーされませんでした。」
さらに、監査法人は、交換チームのメンバーが自社の研究者に対し、返済先を明示せずに不当な時間枠(6時間)内に金額を返済するよう脅迫したと説明した。
これは、ハッキングの数日後に両社が電話会議を行い、解決策を見つけて問題を解決しようとした後に起こった。
CertiK は最近、@krakenfx 取引所に数億ドルの損失につながる可能性のある一連の重大な脆弱性を発見しました。
@krakenfx の預金システムで、異なる内部の区別ができない可能性があるという発見から始まりました… pic.twitter.com/JZkMXj2ZCD
— CertiK (@CertiK) 2024年6月19日
どうやら、この混乱を引き起こしたのは、クラーケンが提案した報奨金の額だったようだ。この額は、行われた努力や阻止された潜在的な攻撃に見合うものではないと考えられていた。クラーケンの広報担当者はコインデスクに次のように報告している。
「当社は誠意を持ってこれらの研究者を関与させ、10年間のバグ報奨金プログラムの運営に則り、彼らの努力に対して相当な額の報奨金を提供してきました。当社は今回の経験に失望しており、現在、これらのセキュリティ研究者から資産を取り戻すために法執行機関と協力しています。」
本日、Certik は、自社の立場をさらに明確にし、疑問を解消するために、いくつかの FAQ を含む別の投稿を公開しました。
セキュリティ会社は、盗まれた金額を返還することを「一貫して」確認してきたと改めて述べ、現在、すべての資金はクラーケンの手に戻ったと述べている。
これらの資金は、734.19215 ETH、29,001 USDT、1021.1 XMRで送金者に返送されましたが、取引所は、155818.4468 MATIC、907400.1803 USDT、475.5557871 ETH、1089.794737 XMRの送金を明示的に要求しており、合計で約10万ドル相当の金額になります。
最近の CertiK-Kraken ホワイトハット活動に関する Q&A:
1. 実際に資金を失ったユーザーはいますか?
いいえ。暗号通貨は空から鋳造されたものであり、実際のKrakenユーザーの資産は私たちの研究活動に直接関与していません。
2. 資金の返還を拒否しましたか?
いいえ。私たちと…とのコミュニケーションの中で、
— CertiK (@CertiK) 2024年6月20日
Kraken は「ホワイトハッキング」の倫理観を堅持しており、Certik によるいじめは恐喝行為として認定できると主張しています。
実際、取引所のバウンティ プログラムでは、第三者が問題を発見し、バグをテストするために必要な最小限の量を利用し (300 万ドルのハッキングを実行せずに)、リソースを返却し、脆弱性の詳細を提供することが求められます。