주요 시사점:
선도적인 암호화폐 거래소 크라켄(Kraken)은 플랫폼에서 취약점을 발견한 ‘보안 연구원’이 금고에서 탈취한 300만 달러 상당의 디지털 자산 반환을 거부했다고 밝혔습니다.
일련의 X 게시물에서 Kraken의 최고 보안 책임자인 Nick Percoco는 사건이 어떻게 전개되었는지 설명했습니다.
White Hat 해커, 버그 신고 후 크라켄 재무부에서 300만 달러 탈취
6월 9일, 암호화폐 거래소는 블록체인 보안 연구원으로부터 사용자가 잔액을 인위적으로 부풀릴 수 있는 시스템 버그에 대한 익명의 제보를 받았습니다. 이 결함은 “적절한 상황에서” 악의적인 공격자가 거래를 완전히 완료하지 않고도 거래소에 예금을 시작하고 자신의 계좌로 자금을 받을 수 있도록 허용합니다.
버그가 보고되자마자 Kraken의 보안팀은 문제를 발견하고 해결했습니다. Perococo는 사용자 자금이 영향을 받지 않았다고 지적했습니다. 그러나 거래소 팀을 놀라게 한 것은 그 이후의 일이었다.
분명히 보안 연구원은 버그를 발견한 후 해당 정보를 두 명의 동료와 공유했습니다. 연구원은 처음에 Kraken에 버그 현상금 보고서를 제출하는 대신 결함을 사용하여 Kraken 계정에 암호화폐를 적립한 다음 동료와 협력하여 거래소 금고에서 약 300만 달러의 암호화폐를 인출했습니다.
제출된 초기 버그 보고서에는 다른 두 사람이 수행한 거래에 대해서는 언급되지 않았지만 Kraken이 그들에게 더 자세한 내용과 자금 반환을 요청했을 때 그들은 거부했습니다.
Perococo는 보안 연구원들이 크라켄에게 버그를 발견하지 못했을 경우 발생할 수 있는 잠재적 피해에 대해 추정된 금액을 제공할 것을 요구했다고 말했습니다.
크라켄(Kraken), 규칙 위반에 대한 보안 연구원 현상금 지급 거부
크라켄(Kraken)의 보안 책임자는 이러한 행동을 비윤리적이고 범죄적이라고 비난하며, 보안 연구원이 참여하고 있는 버그 포상금 프로그램의 규칙을 따르면 회사의 “해킹 라이센스”가 활성화된다고 말했습니다.
Perococo는 “이러한 규칙을 무시하고 회사를 강탈하는 것은 귀하와 귀하의 회사를 범죄자로 만듭니다”라고 썼습니다.
버그 포상금 프로그램은 많은 암호화폐 회사에서 보안 시스템의 견고성을 테스트하는 동시에 선의로 행동하는 사람들에게 인센티브를 제공하기 위해 사용됩니다. 그들은 악의적인 공격자가 이를 악용하기 전에 취약점을 수정할 수 있도록 “화이트 햇”이라고 불리는 제3자 해커를 초대합니다.
Kraken으로부터 포상금을 받으려면 먼저 문제를 발견하고, 버그를 증명하는 데 필요한 최소 금액을 활용하고, 자산을 반환하고, 취약점에 대한 전체 보고서를 제공해야 합니다.
크라켄은 블로그 게시물을 통해 연구원들이 규칙을 따르지 않았기 때문에 현상금 지급을 거부했다고 밝혔습니다.
블록체인 보안 회사인 Certik이 이 공격의 배후에 있는 것으로 생각됩니다.
화이트햇의 이름은 공개되지 않았지만 블록체인 보안 기술 기업 써틱(Certik)으로 널리 알려져 있다.
Certik은 이전에 소셜 미디어 채널에 “수일간의 테스트”를 수행하는 동안 Kraken에서 여러 가지 취약점을 발견했다고 게시했습니다. 그들은 이 버그가 수백만 달러 상당의 암호화폐를 생성하는 데 악용될 수 있다고 경고했습니다.
온체인 보안 연구원은 Kraken 사용자의 계정에 수백만 달러가 입금될 수 있으며 백만 달러 이상의 가치가 있는 엄청난 양의 “조작된 암호화폐”가 해당 계정에서 인출되어 “유효한 암호화폐”로 변환될 수 있다고 썼습니다. Certik은 이 결함이 테스트 기간 동안 Kraken 시스템에서 어떠한 경고도 실행하지 못했다는 심각한 우려를 제기했습니다.
그러나 Certik은 Kraken과의 초기 논의 이후 상황이 악화되었다고 보고했습니다. 그들은 X 게시물에서 크라켄의 보안 운영팀이 직원들에게 상환 주소도 제공하지 않은 채 “불합리한 시간에” 일치하지 않는 금액의 암호화폐를 상환하라고 위협했다고 밝혔습니다.
크라켄은 현재 이 사건을 범죄로 간주하고 법 집행 당국과 협력하여 손실된 자금을 회수하고 있습니다. 회사 대변인은 언론에 “우리는 이번 경험에 실망했다”고 말했다.
더 많은 기사 : Catizen 에어드랍 청구 방법, 출시일 & 적임