セキュリティ研究者がKrakenから約300万ドルの暗号を盗む

暗号交換所Krakenは水曜日、ゼロデイバグ関連の脆弱性を悪用され、同社のウォレットから約300万ドルの暗号通貨が盗まれたことを明らかにしました。この脆弱性は現在修正されています。

Krakenの最高セキュリティ責任者Nick Percocoは、2024年6月9日にセキュリティ研究者から「バグバウンティプログラム」の警告を受け取り、「非常に重要な」脆弱性について通知されたことを、ソーシャルメディアプラットフォームX（旧Twitter）で明らかにしました。この脆弱性により、誰でも自分のKrakenアカウントの残高を人工的に増加させることができました。

報告を調査した結果、Krakenは、適切な条件下で脅威のある行為者がプラットフォーム上で入金を開始し、入金が失敗してもアカウントに資金を受け取ることができる孤立したバグを発見しました。

「明確にするために言うと、クライアントの資産は決して危険にさらされていませんでした。しかし、悪意のある攻撃者は、一定の期間、Krakenアカウントに資産を効果的に印刷することができました」とPercocoは説明しました。

Percocoによれば、Krakenのセキュリティチームはこの脆弱性をクリティカルとしてマークし、1時間以内に問題を解決し、さらなる損失を防ぎました。チームはまた、将来の同様の問題に対する防御策を徹底的にテストしました。

「私たちのチームは、最近のUX変更から派生した欠陥を発見しました。この変更により、資産がクリアされる前にクライアントのアカウントに迅速にクレジットされ、クライアントは実際に暗号市場でリアルタイムに取引できるようになりました。このUX変更は、この特定の攻撃ベクターに対して十分にテストされていませんでした」とPercocoは付け加えました。

バグを修正した後、Krakenのチームは、3つのアカウントがすでに数日以内にゼロデイバグを悪用し、合計で約300万ドルを交換所の財務から引き出していたことを発見しました。

Krakenセキュリティアップデート: 2024年6月9日、私たちはセキュリティ研究者からバグバウンティプログラムの警告を受け取りました。最初は具体的な内容は開示されませんでしたが、彼らのメールは、私たちのプラットフォーム上で残高を人工的に膨らませることを可能にする「非常に重要な」バグを見つけたと主張していました。 — Nick Percoco (@c7five) 2024年6月19日

さらなる調査の結果、1つのアカウントがKrakenのKYC認証プロセスを完了した個人に関連付けられており、自称セキュリティ研究者であることが判明しました。この人物は最初にバグをテストし、アカウントに4ドルの暗号をクレジットしました。これは、欠陥を証明し、Krakenのバグバウンティプログラムを通じて報酬を受け取るのに十分でした。

しかし、Percocoは「セキュリティ研究者」が代わりにゼロデイバグを研究者に関連する他の2人に開示し、彼らが不正に追加で300万ドルをKrakenアカウントから引き出したと述べています。彼は、これらの盗まれた資金はKrakenの財務からのものであり、他のクライアントアカウントからではないと強調しました。

他の2人の取引が最初のバグバウンティ報告で完全に開示されていなかったため、Krakenのチームは研究者に彼らの活動の詳細を問い合わせました。しかし、Percocoは研究者が暗号を返還することや欠陥に関する情報を共有することを拒否したと述べており、これはバグバウンティプログラムの一般的な慣行です。

「代わりに、彼らは彼らのビジネス開発チーム（つまり、彼らの営業担当者）との電話を要求し、私たちがこのバグが開示されなかった場合に引き起こした可能性のある推定金額を提供するまで、いかなる資金も返還することに同意していません。この行為はホワイトハットハッキングではなく、恐喝です！」とPercocoは主張しました。

Krakenのこの事件に対する対応は透明性があります。Percocoはサイバーセキュリティコミュニティにおける倫理的行動の重要性を強調し、「セキュリティ研究者として、あなたが企業を「ハッキング」するライセンスは、参加しているバグバウンティプログラムの簡単なルールに従うことで与えられます。それらのルールを無視し、企業を恐喝することは、あなたの「ハッキングのライセンス」を取り消します」と述べました。

Percocoは、Krakenが研究者の身元を明らかにしない理由は「彼らの行動に対して認識されるべきではないからだ」と述べています。さらに、Krakenはこのケースを犯罪事件として扱い、盗まれた資金を回収するために法執行機関と連携しています。

「私たちは善意でこれらの研究者と関わり、10年間のバグバウンティプログラムの運営に沿って、彼らの努力に対してかなりの報酬を提供しました。この経験に失望しており、現在は法執行機関と協力して、これらのセキュリティ研究者から資産を回収する作業を行っています」とKrakenの広報担当者は声明で述べました。