クラーケン、300万ドル近いバグ関連の悪用を報告

暗号通貨取引プラットフォームのクラーケンは19日、2週間も前にバグに関連した攻撃で約300万ドルを失ったことを報告した。

この事件は、業界にはびこり続ける不安と脆弱性を浮き彫りにしている。

クラーケン、バグ攻撃で300万ドルを失う

Krakenは6月9日にバグ攻撃を受け、悪質業者が300万ドル近くを持ち逃げしたことを明らかにした。Krakenの最高セキュリティ責任者Nick Percocoが共有した報告によると、この取引所はバグ報奨金プログラムの警告を受けました。

「2024年6月9日、私たちはセキュリティ研究者からバグ報奨金プログラムのアラートを受け取りました。具体的な内容は当初明らかにされていませんでしたが、彼らの電子メールは、当社のプラットフォーム上で残高を人為的に膨らませることを可能にする “極めて重大な “バグを発見したと主張していました」

CSOは、さらに調査を進めたところ、悪質業者に無権限な特権を与える孤立したバグが見つかったと指摘した。具体的には、彼らはKraken Exchangeで入金を開始し、入金が完全に完了していないにもかかわらず、口座に資金を受け取ることができた。

関連記事：Krakenレビュー2024：セキュリティと機能

フォレンジック分析により、Krakenのプラットフォームの最近のUX変更に脆弱性があることが判明した。この欠陥により、悪意のある攻撃者は一定期間、アカウント内の「資産を印刷」することができした。重要なことは、クライアントの資産が漏洩することはなく、この問題は修正されたということだ。しかし、その後の調査で、3つのアカウントが数日以内にすでにこのバグを悪用していたことが判明した。

「パッチを適用した後、状況を徹底的に調査したところ、数日以内に3つのアカウントがこの欠陥を悪用していたことがすぐに判明しました。さらに掘り下げていくと、1つのアカウントがセキュリティ研究者を名乗る人物にKYCされていることに気づきました」とパーココ氏は語った。

セキュリティ研究者はクラーケンの資金調達システムのバグを発見し、そのアカウントに4ドルの暗号通貨を入金した。この金額は、欠陥を実証してバグ報奨金レポートを提出するのに十分な金額であり、Krakenのプログラムでは多額の報奨金が得られるはずだった。

その代わり、この研究者はバグを2人の同僚と共有し、その同僚がバグを悪用して不正に巨額の報酬を得た。この共謀により、顧客資産ではなくKrakenの財務から約300万ドルの損失が発生した。

この事件は、暗号資産取引プラットフォームが研究者から資金を回収しようとした後、恐喝事件に発展した。Krakenは、オンチェーン・アクティビティを作成するために使用された概念実証や、引き出された資金を返却するための手配を含む、研究者の活動の完全な説明を要求しました。

「これらのセキュリティ研究者は拒否しました。その代わりに、彼らはビジネス開発チームとの通話を要求し、このバグが公表されなかった場合に引き起こし得たと推測される金額を提示するまで、資金を返却することに同意しませんでした。これはホワイト・ハット・ハッキングではなく、恐喝だ！」とペルココ氏は憤慨した。

そのためクラーケンは、この事件を刑事事件として扱い、法執行機関と連携することを約束した。調査会社は依然として公表していない。

ベスト暗号資産取引所

Exodus 見る →

BYDFi 見る →

BingX 見る →

Coinrule 見る →