Kraken、バグにより不正な「セキュリティ研究者」が300万ドルを不正に利用できたことを明らかに

米国に拠点を置く取引所Krakenは、匿名のセキュリティ企業がプラットフォームのバグを悪用したため、約300万ドルの資金を失った。最高セキュリティ責任者のニック・ペルココ氏は を明らかにし 、セキュリティ企業は資金の返還を拒否し、報奨金としてより高額の支払いを要求していると述べた。

関連記事： 暗号通貨取引所DMM Bitcoin 3億ドルのハッキング被害を受けたユーザーに返金すると約束

これを受けて、Krakenは法執行機関に問題をエスカレートし、刑事事件として扱うと発表しました。しかし、Krakenは既に脆弱性を解決しており、ユーザーアカウントへの影響はないと主張しているため、ユーザーは心配する必要はありません。.

クラーケンのバグにより紙幣印刷が可能に

Percocoによると、セキュリティ研究者が6月9日にバグ報奨金プログラムを通じてKrakenに重大なバグについて警告した。取引所のセキュリティチームは内部調査の結果、悪意のある人物がKrakenアカウントへの入金手続きを開始し、入金を完了することなく資金を受け取ることができる脆弱性を発見した。悪意のある攻撃者はこの脆弱性を悪用することで、数百万ドルもの資金を無から得ることができる可能性がある。.

彼は次のように説明した。

「私たちは孤立したバグを発見しました。このバグにより、悪意のある攻撃者は、適切な状況下で、当社のプラットフォームへの入金手続きを開始し、入金を完了することなく自身のアカウントに資金を受け取ることができました。」

社内セキュリティチームは47分以内に問題を緩和し、数時間後には完全に修正しました。しかし、このバグは、顧客資産が決済される前に顧客口座に入金される可能性がある最近のUXの変更に起因することが判明しました。この変更は即時取引を可能にするために導入されたものの、この種のリスクに対する十分なテストは実施されていませんでした。.

しかし、ペルココ氏は、このdent ユーザーの資産には影響しておらず、脆弱性の悪用はクラーケンの金庫にのみ影響を及ぼしたと付け加えた。.

セキュリティ研究者は犯罪者だ

一方、脆弱性を分析したところ、3つのアカウントがこの欠陥を悪用しており、そのうちの1つのアカウントは当初取引所に連絡を取ったセキュリティ研究者の名前で登録されていたことが判明した。.

関連記事： クラーケン、EUの新規制に対応してUSDTの上場廃止を検討

研究者のアカウントは、この脆弱性を利用して4ドルを入金しただけで、バグが実際に存在したことを証明するのに十分な額でした。一方、他の2つのアカウントは同じ脆弱性を利用してKrakenアカウントから300万ドル近くを引き出しました。興味深いことに、これらのアカウントはセキュリティ研究者の関係者と関連付けられていました。.

クラーケンは、研究者らが現在、バグのリスクに見合うと思われるより高い支払いを要求しているため、資金の返還を求める試みは無駄だったと説明した。.

ペルココ氏はこれを恐喝行為と呼び、バグバウンティプログラムの理念に反すると述べた。さらに、ホワイトハットハッカーにハッキングの許可を与えるルールに違反すれば、セキュリティ研究者は犯罪者とみなされ、取引所もそのように扱われていると付け加えた。.