クラーケン、バグ報奨金制度の悪用で失われた資金300万ドルを回収
暗号通貨取引所クラーケンは、CertiK による注目度の高いバグ報奨金制度の悪用後、約 300 万ドル相当のデジタル資産の回収に成功した。クラーケンの最高セキュリティ責任者であるニコラス・ペルココ氏は、6 月 20 日の X の投稿でこの回収を確認し、「更新: 資金が返還されたことを確認できます (手数料で失われた少額を除く)」と述べた。この発表は、ペルココ氏が 6 月 19 日に資金の消失を最初に明らかにした後のことで、この事件はバグを悪用した「セキュリティ研究者」によるものだとしていた。
クラーケンは、このセキュリティ研究者が取引所を脅迫し、報酬なしでは資金の返還を拒否したと主張した。ブロックチェーンセキュリティ企業CertiKはすぐに、この事件に関与した「セキュリティ研究者」であると名乗った。6月19日のXの投稿で、CertiKは、取引所の口座から数百万ドルを引き出すことができるエクスプロイトについてクラーケンに報告したと詳述した。CertiKはさらに、クラーケンが従業員に対し、返済先を明かさずに、不合理な期限内に不一致の金額の仮想通貨を返済するよう脅迫したと主張した。
この騒動により、約300万ドルの引き出しの必要性について疑問が生じた。Percocoは当初、わずか4ドルの送金でバグを証明し、Krakenの報奨金プログラムから多額の報酬を得るのに十分だったと指摘した。しかし、CertiKは、この多額の金額はKrakenのセキュリティとリスク管理の限界をテストする取り組みの一環であると説明し、その行動を擁護した。「Krakenの保護とリスク管理の限界をテストしたいのです。数日間に渡る複数のテストと約300万ドル相当の仮想通貨のテストを行った後も、アラートはトリガーされず、まだ限界を把握できていません」とCertiKは述べた。
CertiK はまた、当初は懸賞金を要求したのではなく、Kraken が最初に懸賞金について言及したと明言した。「当社は懸賞金の要求について言及したことは一度もありません。最初に懸賞金について言及したのは Kraken であり、当社は懸賞金は優先事項ではないため、問題が解決されたことを確認したいと回答しました」と CertiK は説明した。また、悪用された資金は「空から作られた」ものであるため、Kraken ユーザーの資金が危険にさらされることはなかったと付け加えた。