仮想通貨取引所クラーケンは水曜日、ゼロデイバグ関連の脆弱性が悪用され、ウォレットから300万ドル近くの仮想通貨が盗まれたことを明らかにしたが、この脆弱性は現在修正されている。
Kraken の最高セキュリティ責任者である Nick Percoco 氏は、ソーシャル メディア プラットフォーム X (旧 Twitter) で、2024 年 6 月 9 日にセキュリティ研究者から「非常に重大な」脆弱性について通知する「バグ報奨金プログラム」アラートを受け取ったと明らかにしました。誰でも Kraken アカウントの残高を人為的に増やすことができました。
この報告書を調査したところ、Kraken は、適切な状況下で、たとえ入金が失敗したとしても、攻撃者がプラットフォーム上で入金を開始し、自分のアカウントに資金を受け取ることを可能にする孤立したバグを発見しました。
「明確にしておきますが、顧客の資産が危険にさらされたことはありません。しかし、悪意のある攻撃者は、Kraken アカウント内の資産を一定期間事実上印刷する可能性があります」と Percoco 氏は説明しました。
Percoco 氏によると、Kraken セキュリティ チームはこの脆弱性を重大としてマークし、1 時間以内に問題を解決し、さらなる損失を防止したとのことです。チームはまた、将来同様の問題が発生しないようにソリューションを徹底的にテストしました。
「私たちのチームは、資産が清算される前にクライアントのアカウントに即座に入金するという最近のUX変更に起因する欠陥を発見しました。これにより、クライアントは仮想通貨市場をリアルタイムで効果的に取引できるようになります。」この UX の変更は、この特定の攻撃ベクトルに対して徹底的にテストされていませんでした」と Percoco 氏は付け加えました。
バグを修正した後、Kraken のチームは数日以内に 3 つのアカウントがすでにゼロデイ バグを悪用し、合計で取引所の財務省から 300 万ドル近くを引き出していることを発見しました。
Kraken セキュリティ アップデート:
2024 年 6 月 9 日に、セキュリティ研究者からバグ報奨金プログラムの警告を受け取りました。当初詳細は明らかにされていなかったが、彼らの電子メールには、当社のプラットフォーム上で残高を人為的に膨らませる「非常に重大な」バグが見つかったと主張されていた。
— ニック・パーココ (@c7five)2024 年 6 月 19 日
さらに調査を進めたところ、1 つのアカウントが、セキュリティ研究者を名乗る、Kraken の KYC 検証プロセスを完了した個人にリンクされていることが判明しました。この人物は最初にバグをテストし、自分のアカウントに 4 ドルの暗号通貨を入金しました。これは欠陥を証明し、Kraken のバグ報奨金プログラムを通じて報奨金を受け取るのに十分な金額でした。
しかし、Percoco 氏によると、「セキュリティ研究者」は代わりに、その研究者に関係する他の 2 人にゼロデイ バグを暴露し、彼らは Kraken アカウントからさらに 300 万ドルを不正に引き出したという。同氏は、これらの盗まれた資金はクラーケンの財務省からのものであり、他の顧客口座からのものではないと強調した。
他の 2 人の個人の取引は最初のバグ報奨金レポートでは完全には明らかにされていなかったため、Kraken のチームは彼らの活動の詳細について研究者に連絡しました。しかし、パーココ氏によると、研究者らは暗号通貨の返却や欠陥に関する情報の共有を拒否したが、これはバグ報奨金プログラムではよくあることだという。
「代わりに、彼らは事業開発チーム(つまり営業担当者)に電話するよう要求し、もし開示していなかった場合にこのバグが引き起こした可能性のある推定金額を私たちが提示するまで資金を返還することに同意しませんでした。」これはホワイトハットハッキングではなく、恐喝です!」パーココ氏は主張した。
この事件に対するクラーケンの反応は透明だ。 Percoco 氏は、サイバーセキュリティ コミュニティにおける倫理的行動の重要性を強調し、「セキュリティ研究者として、参加しているバグ報奨金プログラムの簡単なルールに従うことで、企業を『ハッキング』するライセンスが与えられます。これらのルールを無視して強要することは、会社はあなたの「ハッキングのライセンス」を取り消します。」
パーココ氏は、クラーケンは「彼らの行動は認められるに値しない」として研究者らの身元を明らかにしていない、と述べた。さらに、クラーケンは現在、この事件を刑事問題として扱い、盗まれた資金を取り戻すために法執行機関と協力している。
「私たちはこれらの研究者たちに誠意を持って協力し、10 年にわたるバグ報奨金プログラムの実施に沿って、彼らの努力に対して多額の報奨金を提供してきました。私たちはこの経験に失望しており、現在法執行機関と協力してこれらのセキュリティ研究者から資産を回収している」とクラーケンの広報担当者は声明で述べた。