クラーケン、ハッカーがバグを悪用して300万ドルを「恐喝」に転じたと発表

暗号通貨業界とサイバーセキュリティに豊富な経験を持つアナリストとして、私は最近のクラーケンといわゆる「セキュリティ研究者」との遭遇を非常に懸念しています。 Kraken がプラットフォーム上で報告された脆弱性に迅速に対処したことは賞賛に値しますが、その後の出来事はこれらの人物の意図について深刻な疑問を引き起こしています。

研究者として Kraken プラットフォームのセキュリティ脆弱性を明らかにしたところ、セキュリティ専門家を名乗る何人かの人物がこの脆弱性を悪用し、取引所の準備金から約 300 万ドルを引き出していたことを発見しました。残念なことに、これらの個人は、この問題を責任を持って Kraken に報告したり、修正に協力したりする代わりに、要求が満たされない場合はさらに脆弱性を明らかにすると脅迫する法外なアプローチを選択しました。

Kraken のセキュリティ責任者である Nick Percoco 氏は、6 月 9 日に Kraken の「バグ報奨金プログラム」でセキュリティ警告がトリガーされたとソーシャル メディア プラットフォーム X (旧 Twitter) で発表しました。この警告は、ユーザーがアカウント残高を不正に増額できる脆弱性を指摘していました。特定の条件下では、悪意のあるハッカーがプラットフォームに入金し、入金プロセスを完全に完了せずに資金を受け取る可能性があります。

Percoco によると、報告書を受け取った後、Kraken はユーザーの資金に影響を与えることなく問題を即座に解決しました。

その後に起こった出来事は、クラーケンのチームに危険信号をもたらしました。

セキュリティ アナリストとして、私はシステムの脆弱性を発見し、それを 2 人の個人と共有することにしました。残念なことに、彼らはこの情報を自分たちの利益のために悪用し、自分たちの資金ではなくクラーケンの準備金から約 300 万ドルを引き出しました。これらの資金はクラーケンの財務省に属し、他の顧客の資産ではないことを明確にすることが重要です。

元の報告書では、他の2人の関与とその取引の詳細は省略されていた。クラーケンから彼らの行動に関するさらなる情報を求められたが、彼らはそれを提供することを拒否した。

彼らは返金の代わりに事業開発チームと話し合うことを主張し、バグの影響に対する推定コストが提示されるまで資金の返還を拒否している。この行為は倫理的なハッキングではありません。それは恐喝に当たります。 （パーココの声明）

暗号通貨投資家として、私はお気に入りの取引所がセキュリティ システムを強化できる方法を常に探しています。一部のプラットフォームが使用する効果的な方法の 1 つは、バグ報奨金プログラムを通じて「ホワイト ハット」と呼ばれることが多いサードパーティのハッカーを招待することです。そうすることで、Kraken やその競合企業 Coinbase のような企業は、自社のシステムの脆弱性を積極的に特定できます。これにより、悪意のある攻撃者が悪用する前にこれらの問題に対処できるようになり、投資家である私を含むすべてのユーザーにとってより安全な環境が確保されます。

Kraken のプログラムでは、報酬を受け取るためには、外部の第三者が問題を特定し、バグの検証に必要な最小限の金額を使用し、押収された資産を返還し、脆弱性の詳細を開示する必要があると規定している。ただし、セキュリティ研究者はこれらのガイドラインを遵守しなかったため、報酬を剥奪されることになります。

Krakenの代表者は、私たちがこれらの研究者たちと信頼して協力しており、バグ発見者に報いるという10年間の伝統を守り、彼らに多額の報酬を提示したことをCoinDeskに伝えました。私たちはこの事件に遺憾に思っており、現在、セキュリティ研究者から盗まれた資産を取り戻すために法執行機関と協力しています。