Kraken은 악의적인 '보안 연구원'들이 300만 달러를 악용할 수 있도록 허용한 버그를 공개했습니다

미국에 본사를 둔 거래소 크라켄(Kraken)은 익명의 보안 회사가 플랫폼의 취약점을 악용해 약 3백만 달러의 손실을 입었습니다. 크라켄의 최고 보안 책임자(CSO)인 닉 퍼코코(Nick Percoco)는 . X 포럼에 올린 글에서 해당 보안 회사가 손실액을 반환하지 않고 오히려 더 많은 보상금을 요구하고 있다고 밝혔습니다

관련 기사: 암호화폐 거래소 DMM Bitcoin 코인, 3억 달러 해킹 피해 사용자들에게 보상 약속

이에 대해 크라켄은 사법 당국에 사건을 신고하고 형사 범죄로 처리할 것이라고 밝혔습니다. 하지만 거래소 측은 이미 취약점을 해결했으며 사용자 계정에는 아무런 영향이 없다고 주장하므로 사용자는 걱정할 필요가 없습니다.

크라켄 버그로 인해 화폐 발행이 가능해졌습니다

Percoco에 따르면, 한 보안 연구원이 6월 9일 버그 바운티 프로그램을 통해 Kraken에 심각한 버그를 제보했습니다. 내부 조사 결과, 거래소 보안팀은 악의적인 공격자가 Kraken 계정에 입금을 시도하고 입금 완료 없이 자금을 인출할 수 있는 취약점을 발견했습니다. 악의적인 공격자는 이 취약점을 이용해 수백만 달러를 손쉽게 빼돌릴 수 있습니다.

그는 이렇게 설명했다

"저희는 한 가지 버그를 발견했습니다. 이 버그로 인해 악의적인 공격자가 특정 상황에서 저희 플랫폼에 입금을 시도하고 입금 절차를 완전히 완료하지 않고도 자금을 자신의 계좌로 이체받을 수 있었습니다."

내부 보안팀은 47분 만에 문제를 완화했고 몇 시간 후 완전히 해결했습니다. 그러나 회사는 이 버그가 고객 자산이 정산되기 전에 계좌에 입금될 수 있도록 허용한 최근 사용자 경험(UX) 변경 사항에서 비롯된 것임을 발견했습니다. 해당 변경 사항은 즉시 거래를 가능하게 하기 위해 통합되었지만, 이러한 유형의 위험에 대한 충분한 테스트가 이루어지지 않았습니다.

하지만 페르코코는 이번dent 사용자 자산에는 영향을 미치지 않았으며, 해당 취약점을 이용한 공격은 크라켄의 자금에만 영향을 미쳤다고 덧붙였습니다.

보안 연구원들은 범죄자들이다

한편, 취약점 분석 결과 세 개의 계정이 해당 결함을 악용한 것으로 나타났으며, 그중 한 계정은 최초로 거래소에 연락한 보안 연구원의 이름으로 등록되어 있었습니다.

관련 기사: 크라켄, 새로운 EU 규정에 대응해 USDT 상장 폐지 검토 중

해당 연구원의 계정은 취약점을 이용해 단 4달러만 인출했는데, 이는 버그가 실제로 존재한다는 것을 입증하기에 충분했습니다. 하지만 다른 두 계정은 동일한 취약점을 이용해 크라켄 계좌에서 거의 300만 달러를 인출했습니다. 흥미롭게도 이 계정들은 해당 보안 연구원의 지인들과 연관되어 있었습니다.

크라켄 측은 연구원들이 버그로 인한 위험에 상응하는 더 높은 보상금을 요구하고 있어 자금 반환 시도가 수포로 돌아갔다고 설명했다.

페르코코는 이를 갈취 행위로 규정하며, 이는 버그 바운티 프로그램의 기본 원칙에 위배된다고 비판했습니다. 그는 화이트햇 해커에게 해킹 권한을 부여하는 규칙을 위반하는 것은 보안 연구원들을 범죄자로 만드는 것이며, 거래소는 그들을 범죄자처럼 취급하고 있다고 덧붙였습니다.