クラーケン、バグにより約300万ドルの被害
有名な暗号通貨取引所であるクラーケンは最近、バグにより人々が実際に入金手続きを完了することなく、自分の口座にお金を入金できたことを明らかにしました。このバグは、修正される前にクラーケンの金庫から約300万ドルが盗まれるまで悪用されました。クラーケンの最高セキュリティ責任者(CSO)がこの事件に関する詳細を共有しました。
バグの発見
6月9日、クラーケンのバグ報奨金プログラムは「非常に重大な」バグに関する警告を受け取りました。この警告は、重大な欠陥を発見したセキュリティ研究者から送信されました。クラーケンのCSOであるニック・パーコによると、このバグにより、誰かが自分の口座残高を人為的に膨らませることができました。これはつまり、入金手続きを完了することなく入金を開始し、資金を受け取ることができたということです。
バグの仕組み
このバグは、クラーケンのプラットフォームのユーザーエクスペリエンス(UX)デザインの最近に行われた変更が原因で発生しました。この欠陥により、資産の入金が完全に確認される前に、口座に入金することが可能になりました。これにより、攻撃者は一時的に自分の口座に「資産を印刷」することができました。しかし、パーコは顧客の資産は危険にさらされていないと確信しました。この問題は、クラーケン自身の財務にありました。
修正前の悪用
クラーケンは警告を受け取ってから数時間以内にバグを迅速に修正しました。しかし、調査の結果、3つの口座が数日以内にすでにこのバグを悪用していたことが判明しました。これらの口座の1つは、バグを発見したセキュリティ研究者に属していました。この人物は、自分の口座に4ドルを入金して欠陥をテストしていると主張しました。その後、バグ報奨金レポートを提出し、報酬を請求しました。
協力者による大規模な悪用
研究者がこのバグを他の2人と共有していたことが判明したため、状況はさらに深刻になりました。これらの人物はバグを使用して、クラーケンの金庫からさらに多額の合計約300万ドルを引き出しました。パーコは、このお金は顧客の資産ではなく、クラーケンの資金から出ていると明確にしました。
クラーケンの対応
クラーケンは、研究者らに対し、資金を返還し、自分の活動に関する完全な説明を提供するように求めました。しかし、研究者らは、クラーケンが潜在的な悪用の規模を公表しない限り、資金を返還することを拒否しました。パーコは、この要求を恐喝行為であり、これはホワイトハットハッキングではないと規定しました。
法的措置と安全対策
クラーケンは、バグ報奨金の条件違反により、この事件を刑事事件として扱うことを決定しました。彼らは、関連する研究機関の名前を公表しないことを選択しました。彼らが名声を受ける資格がないと信じていたからです。代わりに、クラーケンは状況に対処するために法執行機関と協力しました。
バグ報奨金プログラムの重要性
この事件は、脆弱性の特定と修正のためのバグ報奨金プログラムの重要性を強調しています。バグ報奨金プログラムは、バグを見つけて報告する研究者に報奨金を出すように設計されています。しかし、研究者が倫理的ガイドラインに従わない場合に発生する可能性のあるリスクも示しています。
暗号通貨取引所の保護
クラーケンなどの暗号通貨取引所は、このような悪用から保護するために、継続的に安全対策を改善する必要があります。これには、新しい機能の徹底的なテストと、報告された問題への迅速な対応が含まれます。これにより、プラットフォームを保護し、ユーザーの信頼を維持できます。
クラーケンの最近のバグ悪用の事件は、暗号通貨取引所が直面する課題を思い出させます。金庫から約300万ドルが盗まれたクラーケンは、バグを修正するために迅速に対処し、現在、責任者に対して法的措置を講じています。この事例は、暗号通貨業界における堅牢な安全対策と倫理的慣行の重要性を強調しています。
