米クラーケン、入金システムバグ発見の「セキュリティ研究者」と対立

バグは修正済

暗号資産（仮想通貨）取引所クラーケン（Kraken）が、預金および入金システムにバグが発生したことを6月19日報告した。

クラーケンは今回の発表に至るまで、顧客資産に影響や脆弱性ははなく、バグはすでに修正されたと報告している。

クラーケンによるとこのバグでは、特定のユーザーが短期間の間、入金を完了させずとも口座残高を人為的に増加できていたという。

クラーケンはバグを発見した企業がどこであるか明言はしていないが、web3セキュリティー企業サーティック（CertiK）だと見られている。

クラーケンは、サーティックを名指しすることはなかったものの、「バグを発見したサードパーティの研究者は、クラーケンのバグ報奨金プログラムのルールを逸脱し、悪意を持って行動した」と指摘。

バグ報奨金プログラムにおける、「脆弱性を証明するために最低限の不正しか行わない」、「抽出した資産の迅速な返却」、「概念実証コード等問題をテストした詳細を提供する」という点を遵守していないため、クラーケンはこの貢献を評価しないとした。

クラーケンの最高セキュリティ責任者のニック・パーココ（Nick Percoco）氏は、この「セキュリティ研究者」は、バグを発見する過程で最終的にクラーケンの口座から300万ドル近くを引き出したと報告。なおこれは顧客資産からではなく、クラーケンのトレジャリー（財務）から引き出されたという。

さらに「セキュリティ研究者」は、クラーケンによる活動報告及び資金返却の要求を拒否。クラーケンの営業担当者との面会を要求しており、このバグが公表されなかった場合に引き起こされる可能性のある推定金額を提示するまで、資金返却に同意していないという。

パーココ氏は、これら一覧の対応に対し、「これはホワイトハットハッキングではなく、恐喝だ！」と非難している。

サーティックは6月20日、Xにて同社が最近「クラーケンの一連の重大な脆弱性を特定した」と報告している。

放置しておけば莫大な損失につながった可能性があると指摘。

サーティックによれば同社はバグ発見後、クラーケンに報告。クラーケンのセキュリティチームはこの報告を受け、脆弱性の特定と修正に成功した後、サーティックに対し「返済用アドレスを提供することなく、不合理な時間内に釣り合わない量の暗号資産を返済するよう脅迫」してきたとのこと。「ホワイトハッカーを脅すのはやめるよう」クラーケンに呼びかけている。

なおサーティックは、同社の記録に基づき、「クラーケンがアクセスできる口座に資金を送金している」とも報告している。

Instead, the ‘security researcher’ disclosed this bug to two other individuals who they work with who fraudulently generated much larger sums. They ultimately withdrew nearly $3 million from their Kraken accounts. This was from Kraken’s treasuries, not other client assets.

— Nick Percoco (@c7five) June 19, 2024

CertiK recently identified a series of critical vulnerabilities in @krakenfx exchange which could potentially lead to hundreds of millions of dollars in losses.

Starting from a finding in @krakenfx ‘s deposit system where it may fail to differentiate between different internal… pic.twitter.com/JZkMXj2ZCD

— CertiK (@CertiK) June 19, 2024

関連ニュース

• LINEらのフィンシア財団、ガバナンスメンバーにCertiK参加
• 米クラーケン、IPOを前に1億ドル以上の資金調達を計画中か＝ブルームバーグ
• 暗号資産取引所ポロニエックスが約190億円のハッキング被害、ジャスティン・サン氏認める
• 暗号資産取引所HTX、ハッキング攻撃受け約12億円失う
• 【国内取引所初、バグを見つけたら報奨金】ビットバンクがバグバウンティプログラム開始

参考： クラーケン
images：iStock/metamorworks・PIXTA