クラーケンはCertiKは過剰だったと主張しているが、サイバーセキュリティ企業は、問題の規模を確かめるためには大規模な引き出しが必要だったと主張している。

先週、クラーケンは重大なバグによりセキュリティ研究者が残高を人為的に膨らませ、約300万ドルを引き出すことができたと発表した。

Kraken セキュリティアップデート: 2024 年 6 月 9 日、セキュリティ研究者からバグバウンティ プログラムの警告を受け取りました。当初は詳細は明らかにされていませんでしたが、電子メールには、当社のプラットフォーム上の残高を人為的に膨らませることができる「極めて重大な」バグが見つかったと記載されていました。

— ニック・ペルココ (@c7five) 2024年6月19日

しかし、この事件全体には信じられないほど異常な点があり、最終的には暗号通貨取引所と大手サイバーセキュリティ企業の間で口論が勃発することになった。

クラーケンの最高セキュリティ責任者ニック・ペルココ氏は、悪意のある人物がアカウントの資金を印刷できる欠陥が発見されたと発表した。

問題の緩和には 47 分かかり、完全に修復するには数時間かかりました。これまでのところ、これはすべて非常に正常で日常的なことのようです。

しかし、ペルココ氏は、関係するセキュリティ研究者が同僚2人にこの問題を伝え、数百万ドル相当の会社の資金を奪うことができたと主張して事態をさらにエスカレートさせた。

同氏は、クラーケンが不正アクセスがどのように行われたかについての詳細を要求し、資金全額の返還を求めたが、拒否されたと主張した。

「その代わりに、彼らはビジネス開発チーム(つまり営業担当者)との電話会議を要求し、このバグを公表していなかった場合に発生したであろう推定金額を提示するまで、資金を返金することに同意しませんでした。これはホワイトハットハッキングではなく、恐喝です!」

ニック・ペルココ

ペルココ氏はさらに、研究者らは必要以上に多くの情報を抽出し、概念実証を提供せず、賞金をすぐに返還しなかったため、バグ報奨金プログラムの精神に沿って作業していなかったと主張した。

それで、ここで何が起こっていたのでしょうか? これは、ダークサイドに転向しようとしているホワイトハットハッカーだったのでしょうか? 誰かが Kraken を人質に取ろうとしていたのでしょうか? それとも、刑事事件だったのでしょうか?

こちらもおすすめ: 上場前にコインを購入する方法

CertiKが前進

ここで話は意外な展開を迎えます。このエクスプロイトはどこかの寝室に閉じ込められた聡明なティーンエイジャーが仕組んだものだと思われたかもしれません。しかし実際には、Web3 業界最大の監査機関の 1 つである CertiK が実行したのです。

Percoco が X にスレッドを投稿してからわずか 3 時間後、同社は事件に関する独自の見解を発表しました。

CertiK は最近、@krakenfx 取引所に数億ドルの損失につながる可能性のある一連の重大な脆弱性を発見しました。@krakenfx の入金システムで、異なる内部の口座を区別できない可能性があるという発見から始まりました… pic.twitter.com/JZkMXj2ZCD

— CertiK (@CertiK) 2024年6月19日

同社は、数日間のテストではクラーケンの内部システムに何の危険信号も検出されなかったと述べており、取引所のセキュリティチームが欠陥について知らされた後にのみ介入したことを意味する。

「脆弱性の特定と修正に関する最初の成功した転換の後、Krakenのセキュリティ運用チームは、返済先アドレスを提供することなく、不合理な時間内に不一致の量の暗号通貨を返済するようCertiKの従業員個人に脅迫しました。」

証明書

CertiKはさらに、Krakenに対し「ホワイトハットハッカーに対するあらゆる脅迫をやめる」よう求めた。

翌日、同社は研究についての質問に答えるスレッドを投稿した。

最近の CertiK-Kraken ホワイトハット オペレーションに関する Q&A: 1. 実際のユーザーが資金を失いましたか?いいえ。暗号通貨は空から鋳造されたものであり、実際の Kraken ユーザーの資産は当社の調査活動に直接関与していません。2. 資金の返還を拒否しましたか?いいえ。当社と…

— CertiK (@CertiK) 2024年6月20日

CertiK は、Kraken の顧客が結局お金を失うことはなかったと強調するとともに、同社に対し、お金は返金されると「一貫して保証」しており、実際に返金されたと強調した。唯一の問題点は、取引所が実際にいくら支払うべきなのかという意見の相違だ。

同社は、なぜこれほど大規模にこの欠陥を悪用することにしたのかを次のように説明している。

「クラーケンの保護とリスク管理の限界をテストしたい。数日間にわたって300万ドル相当の仮想通貨をテストしたが、アラートは発動せず、まだ限界はつかめていない。」

証明書

行間を読むと、CertiK は、本物の詐欺師が詐欺行為を続けた場合、最終的にどのくらいの金額を奪い去ることができたのかを Kraken に尋ねていたようです。

サイバーセキュリティ企業はさらに、バグ報奨金制度は自社の優先事項の中でははるかに下位にあり、自社のテストに関連するすべての取引はパブリックドメインになっていると主張した。

激しい言葉の戦争

X に関しては、誰が正しくて誰が間違っているかについてかなりの意見の相違がありました。

本当の疑問は、信頼が最も重要な要素である役割において、なぜテストの一環として法外な金額を搾取したのか、ということであるはずです。負けを認め、法的助言なしにツイートするのはやめましょう。

— $LSS BULL を参照 (@crypto_seeb) 2024 年 6 月 19 日

300万ドルは、破産につながる可能性のあるハッキングの規模に比べれば取るに足らない金額だ。匿名ユーザーが悪用しなかったことにただ感謝するのではなく、KrakenのDouble Lがこれを公の問題にしてしまった。

— エバーハスク(@everhusk)2024年6月19日

CertiK の主張は、要するに、Kraken の内部システムによってフラグが立てられるかどうかをテストするために、天文学的な規模の引き出しを行う必要があった、というものだ。

表面的には解決したように見えるこの論争は、仮想通貨業界の企業と、それらを監視する任務を負っているサイバーセキュリティ研究者との間の緊張関係を浮き彫りにしている。

交戦規則について、より緊密な合意が必要ですか? 後日、より悲惨な事態が起こるのを防ぐことができるため、ホワイトハットハッカーによる大規模な攻撃が正当化される例はありますか?

もしこれが Ronin Network に起こっていたら、つまり 6 億 2,500 万ドルの盗難につながった史上最大の暗号通貨強盗の 1 つを阻止するのに役立っていたなら、おそらく数百万ドルの一時的な盗難は正当化されると主張するだろう。

どう考えても、この事件は、大手取引所にはまだ発見されていないバグが存在する可能性があり、これらの取引プラットフォームを利用して資金を保管している一般投資家にリスクをもたらす可能性があることを痛感させるものである。

こちらもご覧ください: 暗号通貨業界はトランプ氏を信頼できるか?