보안 연구원들이 크라켄에서 거의 300만 달러의 암호화폐를 훔쳤습니다

암호화폐 거래소 크라켄은 수요일에 제로데이 버그 관련 취약점을 이용해 지갑에서 거의 300만 달러의 암호화폐가 도난당했다고 밝혔습니다. 이 취약점은 현재 수정되었습니다.

크라켄의 최고 보안 책임자인 닉 퍼코코는 소셜 미디어 플랫폼 X(구 트위터)를 통해 2024년 6월 9일 보안 연구원으로부터 “버그 바운티 프로그램” 경고를 받았다고 밝혔습니다. 이 경고는 누구나 크라켄 계좌 잔액의 가치를 인위적으로 증가시킬 수 있는 “매우 심각한” 취약점에 대해 알렸습니다.

보고서를 조사한 결과, 크라켄은 위협 행위자가 적절한 상황에서 플랫폼에서 입금을 시작하고 입금이 실패하더라도 계좌에 자금을 받을 수 있는 고립된 버그를 발견했습니다.

“명확히 하자면, 고객의 자산은 결코 위험에 처하지 않았습니다. 그러나 악의적인 공격자는 일정 기간 동안 자신의 크라켄 계좌에서 자산을 효과적으로 인쇄할 수 있었습니다,”라고 퍼코코는 설명했습니다.

퍼코코는 크라켄 보안 팀이 이 취약점을 심각한 것으로 표시하고 문제를 한 시간 이내에 해결하여 추가 손실을 방지했다고 말했습니다. 팀은 또한 향후 유사한 문제를 방지하기 위해 솔루션을 철저히 테스트했습니다.

“우리 팀은 최근 UX 변경에서 발생한 결함을 발견했습니다. 이 결함은 고객의 자산이 정산되기 전에 고객 계좌에 즉시 입금되도록 하여 고객이 실시간으로 암호화폐 시장에서 거래할 수 있게 했습니다. 이 UX 변경은 이 특정 공격 벡터에 대해 철저히 테스트되지 않았습니다,”라고 퍼코코는 덧붙였습니다.

버그를 수정한 후, 크라켄 팀은 이미 3개의 계좌가 며칠 이내에 제로데이 버그를 악용하여 거래소의 금고에서 거의 300만 달러를 인출했음을 발견했습니다.

크라켄 보안 업데이트: 2024년 6월 9일, 우리는 보안 연구원으로부터 버그 바운티 프로그램 경고를 받았습니다. 처음에는 구체적인 내용이 공개되지 않았지만, 그들의 이메일은 우리 플랫폼에서 잔액을 인위적으로 부풀릴 수 있는 “매우 심각한” 버그를 발견했다고 주장했습니다. — 닉 퍼코코 (@c7five) 2024년 6월 19일

추가 조사 결과, 한 계좌가 크라켄의 KYC 인증 프로세스를 완료한 개인과 연결되어 있으며, 이 개인은 보안 연구원이라고 주장했습니다. 이 사람은 처음에 버그를 테스트하고 자신의 계좌에 4달러의 암호화폐를 입금했으며, 이는 결함을 증명하고 크라켄의 버그 바운티 프로그램을 통해 보상을 받을 수 있는 충분한 금액이었습니다.

그러나 퍼코코는 ‘보안 연구원’이 대신 제로데이 버그를 연구원과 관련된 두 다른 개인에게 공개했으며, 이들은 부정하게 추가로 300만 달러를 크라켄 계좌에서 인출했다고 말했습니다. 그는 이 도난당한 자금이 크라켄의 금고에서 나온 것이며, 다른 고객 계좌에서 나온 것이 아니라고 강조했습니다.

두 다른 개인의 거래가 초기 버그 바운티 보고서에 완전히 공개되지 않았기 때문에, 크라켄 팀은 연구원에게 그들의 활동에 대한 추가 세부 정보를 요청했습니다. 그러나 퍼코코는 연구원들이 암호화폐를 반환하거나 결함에 대한 정보를 공유하는 것을 거부했다고 말했습니다. 이는 모든 버그 바운티 프로그램에서 일반적인 관행입니다.

“대신 그들은 그들의 비즈니스 개발 팀(즉, 판매 담당자)과의 통화를 요구했으며, 우리가 이 버그가 공개되지 않았다면 발생했을 수 있는 추정 금액을 제공할 때까지 어떤 자금도 반환하는 데 동의하지 않았습니다. 이것은 화이트햇 해킹이 아니라, 강탈입니다!”라고 퍼코코는 주장했습니다.

크라켄의 사건에 대한 대응은 투명했습니다. 퍼코코는 사이버 보안 커뮤니티에서 윤리적 행동의 중요성을 강조하며, “보안 연구원으로서, 당신이 회사에 ‘해킹’할 수 있는 권한은 당신이 참여하는 버그 바운티 프로그램의 간단한 규칙을 따름으로써 부여됩니다. 이러한 규칙을 무시하고 회사를 강탈하는 것은 당신의 ‘해킹 라이센스’를 박탈합니다.”라고 말했습니다.

퍼코코는 크라켄이 연구원의 신원을 공개하지 않고 있다고 말했습니다. “그들은 그들의 행동에 대한 인정을 받을 자격이 없습니다.” 또한 크라켄은 이제 이 사건을 범죄 문제로 간주하고 도난당한 자금을 회수하기 위해 법 집행 기관과 협력하고 있습니다.

“우리는 이러한 연구원들과 선의로 협력했으며, 10년간의 버그 바운티 프로그램 운영에 따라 그들의 노력에 대해 상당한 보상을 제공했습니다. 우리는 이 경험에 실망했으며, 이제 법 집행 기관과 협력하여 이 보안 연구원들로부터 자산을 회수하기 위해 노력하고 있습니다,”라고 크라켄 대변인이 성명에서 말했습니다.