크라켄, 버그로 인해 거의 300만 달러 피해
잘 알려진 암호화폐 거래소인 크라켄은 최근 버그로 인해 사람들이 실제로 입금을 완료하지 않고도 자신의 계좌에 돈을 입금할 수 있었다고 밝혔습니다. 이 버그로 인해 크라켄의 금고에서 거의 300만 달러가 유출된 후에야 수정 조치가 취해졌습니다. 크라켄의 최고 보안 책임자(CSO)가 이 사건에 대한 자세한 내용을 공유했습니다.
버그 발견
6월 9일, 크라켄의 버그 현상금 프로그램에 “매우 심각한” 버그에 대한 경고가 접수되었습니다. 이 경고는 심각한 결함을 발견한 보안 연구원이 보냈습니다. 크라켄의 CSO 닉 페르코코에 따르면 이 버그는 누군가가 인위적으로 자신의 계좌 잔고를 부풀릴 수 있도록 해주었습니다. 즉, 사람들은 입금 절차를 완료하지 않고도 입금을 시작하고 자금을 받을 수 있었습니다.
버그가 작동하는 방식
버그는 크라켄 플랫폼의 사용자 경험(UX) 디자인에 최근 있었던 변경으로 인해 발생했습니다. 이 결함으로 인해 자산 입금이 완전히 확인되기 전에도 계좌에 입금이 가능해졌습니다. 이를 통해 공격자는 자신의 계좌에 일시적으로 “자산 인쇄”를 할 수 있었습니다. 하지만 페르코코는 고객 자산에 위험이 없다고 확신시켰습니다. 이 문제는 크라켄 자체의 보관 금에 있었습니다.
수정 전 악용
크라켄은 경고가 접수된 후 몇 시간 이내에 버그를 신속하게 수정했습니다. 그러나 조사 결과 3개의 계좌가 며칠 사이에 이미 이 버그를 악용한 것으로 나타났습니다. 이러한 계좌 중 하나는 버그를 발견한 보안 연구원 소유였습니다. 이 개인은 자신의 계좌에 4달러를 입금하여 결함을 테스트하고 있다고 주장했습니다. 그런 다음 버그 현상금 보고서를 제출하고 보상을 청구했습니다.
공범자들의 더 큰 규모 악용
연구원이 버그를 두 명의 다른 개인과 공유했다는 사실이 밝혀지면서 상황은 더욱 심각해졌습니다. 이 사람들은 버그를 사용하여 크라켄 금고에서 훨씬 더 큰 금액, 총 약 300만 달러를 인출했습니다. 페르코코는 이 돈이 고객 자산이 아니라 크라켄의 자금에서 나왔다고 분명히 했습니다.
크라켄의 대응
크라켄은 연구원들에게 자금을 반환하고 자신의 활동에 대한 전체 설명을 제공하도록 요청했습니다. 그러나 연구원들은 크라켄이 잠재적인 악용 규모를 공개하지 않는 한 돈을 반환하기를 거부했습니다. 페르코코는 이러한 요구 사항을 갈취라고 규정하고 이것이 백해킹 행위가 아니라고 말했습니다.
법적 조치 및 보안 조치
크라켄은 버그 현상금 약관 위반으로 인해 이 사건을 범죄로 처리하기로 결정했습니다. 그들은 관련 연구 기관의 이름을 공개하지 않기로 했는데, 이들은 명예를 받을 자격이 없다고 믿었기 때문입니다. 대신 크라켄은 상황을 처리하기 위해 법 집행 기관과 협력했습니다.
버그 현상금 프로그램의 중요성
이 사건은 취약성 식별 및 수정을 위한 버그 현상금 프로그램의 중요성을 강조합니다. 버그 현상금 프로그램은 버그를 찾아 보고하는 연구원에게 보상을 제공하도록 고안되었습니다. 그러나 연구원이 윤리적 지침을 따르지 않을 때 잠재적 위험도 보여줍니다.
암호화폐 거래소 보호
크라켄과 같은 암호화폐 거래소는 이러한 악용으로부터 보호하기 위해 보안 조치를 지속적으로 개선해야 합니다. 여기에는 새로운 기능의 철저한 테스트와 보고된 문제에 신속하게 대응하는 것이 포함됩니다. 이를 통해 플랫폼을 보호하고 사용자의 신뢰를 유지할 수 있습니다.
크라켄의 최근 버그 악용 사건은 암호화폐 거래소가 직면한 어려움을 일깨워줍니다. 보관 금에서 거의 300만 달러가 도난당한 크라켄은 버그 수정을 위해 신속히 조치를 취했으며 현재 책임자들에 대해 법적 조치를 취하고 있습니다. 이 사례는 암호화폐 업계에서 견고한 보안 조치와 윤리적 관행의 중요성을 강조합니다.