重要なポイント:
大手仮想通貨取引所クラーケンは、同社プラットフォームの脆弱性を発見した「セキュリティ研究者」が、財務省から持ち出した300万ドル相当のデジタル資産の返還を拒否したことを明らかにした。
一連の X の投稿の中で、Kraken の最高セキュリティ責任者である Nick Percoco 氏は、事件がどのように展開したかを説明しました。
ホワイトハットハッカー、バグ報告後にクラーケンの財務省から300万ドルを強奪
6月9日、仮想通貨取引所はブロックチェーンセキュリティ研究者から、ユーザーが残高を人為的に膨らませることができるシステムのバグに関する匿名の情報を受け取った。この欠陥により、「適切な状況下で」悪意のある攻撃者が取引を完全に完了することなく取引所への入金を開始し、自分のアカウントに資金を受け取ることが可能になります。
バグが報告されるとすぐに、Kraken のセキュリティ チームが問題を発見して修正しました。ペロココ氏は、ユーザーの資金は影響を受けなかったと指摘した。しかし、取引所チームを唖然とさせたのはその後の出来事だった。
どうやら、バグを発見した後、セキュリティ研究者はその情報を 2 人の同僚と共有したようです。研究者は、最初にクラーケンにバグ報奨金報告書を提出する代わりに、その欠陥を利用してクラーケンのアカウントに暗号通貨を入金し、その後同僚と協力して取引所の財務省から約 300 万ドルの暗号通貨を引き出したことが判明しました。
最初に提出されたバグレポートには、他の 2 人が行った取引については言及されていませんでしたが、Kraken が詳細と資金の返還を求めたところ、彼らは拒否しました。
ペロココ氏は、セキュリティ研究者らは代わりに、クラーケンに対し、バグが発見されなかった場合にそのバグが引き起こしていた可能性がある潜在的な損害の推定額を提示するよう要求したと述べた。
クラーケン、ルール違反に対するセキュリティ研究者への報奨金の支払いを拒否
Krakenのセキュリティ責任者は、これらの行為は非倫理的かつ犯罪的であると非難し、セキュリティ研究者が企業を「ハッキングするライセンス」は、参加しているバグ報奨金プログラムのルールに従うことで有効になると述べた。
「こうした規則を無視して会社に恐喝すれば、あなたもあなたの会社も犯罪者になります」とペロココ氏は書いた。
バグ報奨金プログラムは、誠実に行動する企業を奨励しながら、セキュリティ システムの堅牢性をテストするために多くの暗号通貨企業で使用されています。彼らは「ホワイトハット」と呼ばれるサードパーティのハッカーに脆弱性を発見してもらい、悪意のある攻撃者が悪用する前に脆弱性を修正できるようにします。
クラーケンから報奨金を受け取るには、ホワイトハットはまず問題を発見し、バグを証明するために必要な最小限の量を悪用し、資産を返却し、脆弱性に関する完全なレポートを提出する必要があります。
クラーケンはブログ投稿で、研究者がルールに従わなかったため、研究者への報奨金の支払いを拒否したと述べた。
ブロックチェーンセキュリティ企業Certikが悪用の背後にあると考えられる
ホワイトハットの名前は明らかにされていないが、ブロックチェーンセキュリティ技術会社Certikであると広く信じられている。
Certikは以前、「複数日間のテスト」を実施中にKrakenにいくつかの脆弱性を発見したとソーシャルメディアチャンネルに投稿していた。彼らは、このバグが悪用されて数百万ドル相当の暗号通貨が作成される可能性があると警告した。
オンチェーンのセキュリティ研究者は、クラーケンユーザーのアカウントに数百万ドルが入金され、そのアカウントから100万ドル以上に相当する大量の「捏造された暗号」が引き出され、「有効な暗号」に変換される可能性があると書いている。 Certik は、この欠陥がテスト期間中に Kraken のシステムでアラートをトリガーできなかったという深刻な懸念を提起しました。
しかし、Certikは、Krakenとの最初の話し合いの後、事態は悪化したと報告した。彼らはXの投稿で、クラーケンのセキュリティ運用チームが従業員に、返済先住所さえ提供せずに、不一致の仮想通貨を「不当な時期に」返済するよう脅迫したと述べた。
クラーケンは現在、この事件を犯罪として扱い、失われた資金を取り戻すために法執行機関と協力している。同社の広報担当者は「このような経験にはがっかりしている」とメディアに語った。
その他のニュース: 仮想通貨市場の崩壊でビットコインは65,000ドルを下回る
