この記事では信じられないような話について話します: 数日前、監査会社Certikはcrypto exchange Krakenのセキュリティシステムに重大なhackを引き起こす可能性のある欠陥を発見しました。
3日間のテストを実施し、300万ドルの“white hack”攻撃を行った後、CertikはKrakenにバグを知らせるために連絡しましたが、最初は盗まれた金額をすぐに返還することを拒否しました。
暗号交換は状況を犯罪事件として扱い、直ちに法執行機関に連絡しましたが、暗号セキュリティ会社はこれが典型的な「bounty program」のテストであると主張しています。現在、資金は返還されたようです。
以下の詳細を見てみましょう。
Summary
Krakenのcrypto exchangeに対する300万ドルのハック: Certikが責任者だが、金を返すことを拒否
この物語は2024年6月9日に始まります、その時 crypto exchange Krakenは “セキュリティ研究者” から非公式の通知を受け取ります、その研究者は 脆弱性 をプラットフォーム上で発見したと主張しています、それは大規模なハックを引き起こす可能性がありました。
Nick Percoco, Chief Security Officer di Kraken,のポストモーテムツイートによると、研究者はセキュリティシステムの欠陥(内部転送の異なる状態を区別できない)を指摘し、ユーザーが自分の残高を膨らませ、実際に持っているよりも多くのコインを引き出すことができることを明らかにしました。エクスチェンジはすぐに問題を解決するために動き、わずか47分で専門家チームがバグを修正しました。
こちらはPercocoからの報告です:
“バグは、適切な状況下で悪意のある攻撃者が当社のプラットフォームで入金を開始し、完全に入金を完了せずに自分のアカウントに資金を受け取ることを可能にしました。 明確にするために、顧客の資産は一度も危険にさらされていませんでした”
ここまではすべて通常通りですが、同じセキュリティ会社のweb3で働いている研究者がKrakenに連絡する前に、公式にバグを報告する前にプラットフォーム上で合計300万ドルのいくつかのハックを成功させたということです。
すぐにPercocoの投稿が公開された後、著名な監査会社Certikはすぐに事件の責任を引き受け、自身の重要な役割を明らかにしました。
CertikはKrakenの防御メカニズムを「テスト」し、大規模な攻撃を実行し、3つの異なるアカウントから大量のMATICトークンを引き出し、その後Tornado Cashミキサーを通じて資金の痕跡を消去しました。
エクスチェンジのセキュリティ責任者によると、問題を修正した後、KrakenはCertikに資金を返還するよう要求しましたが、彼女は最初は拒否しました。
それにもかかわらず、Certikはその活動が「white hack」の原則に沿っていると主張しています。
どうやらCertikは、Krakenとのコミュニケーションの3日前に3つのアカウントexploiterが引き出しテストを実行したにもかかわらず、事件におけるそれらの役割について言及していません。
セキュリティ研究者がバグを発見し、重大な脆弱性を特定したことで多額の報奨金を要求したが、Krakenは自分の資金を取り戻したいと主張しました。
監査の会社が戦利品を返還することを拒否し、むしろハックの証拠を隠蔽するために動いたように見えたため、取引所はこの状況を犯罪事件として扱い、関係当局および法執行機関に通知することを決定しました。
Web3セキュリティ会社は、もしこのバグが公開されなかった場合に引き起こされる可能性があった損害額に相当するbounty賞金を取引所に要求し、取引プラットフォームのチームを激怒させました。
PercocoはXのプロフィールで起こったことについてコメントし、Certikの行動に対する彼の全くの反対を示しました:
「これはwhite hackingではなく、これはestersioneです。」
Certikの否定: 一部の従業員がKrakenチームから脅迫を受けたにもかかわらず、資金は返還された
Certik、預金システムの欠陥を特定した責任者として自己紹介した後、Krakenの話をすぐに否定し、「white hack」の役割と自分たちの前向きな意図を強調しました。
会社は、exchangeの防御をテストする目的で、300万ドルの大規模なハックを実施したことを明らかにしましたが、戦利品を返還することを拒否したことは一度もなく、すべてが正しく実行されることを確認したいと強調しました。
Certikは、バグが引き起こす可能性のあるネガティブな影響に驚いたが、特にKrakenのアラームが一度もトリガーされなかったことに驚いたと述べた。これは投稿で述べられた内容です:
「何百万ドルも任意のKrakenアカウントに預けることができます。膨大な量の暗号通貨(1M+ USD以上の価値)がアカウントから引き出され、有効な暗号通貨に変換される可能性があります。さらに悪いことに、複数日のテスト期間中に警告が有効化されませんでした。」
さらに、監査会社は取引所のチームメンバーが自分の研究者に対して、合理的でない時間内(6時間)に金額を返済するよう脅迫したが、repaymentのアドレスを提供しなかったと説明しました。
これは、ハックから数日後に、両社が解決策を見つけて問題を解決するためにコールで連絡を取り合った後に行われました。
どうやら混乱を引き起こしたのは、Krakenが提案したbountyの賞金額であり、それが行われた努力や防止された可能性のあるエクスプロイトに見合わないと見なされたためです。実際、Krakenの広報担当者がCoindeskに報告したように:
「私たちはこれらの研究者を善意で関与させ、10年間のバグバウンティプログラムの管理に沿って、彼らの努力に対してかなりの報酬を提供しました。この経験に失望しており、現在は法執行機関と協力してこれらのセキュリティ研究者から資産を回収するために取り組んでいます。」
今日Certikは、自身の立場をさらに明確にし、すべての疑問を取り除くために、FAQの別の投稿を公開しました。
セキュリティ会社は、盗まれた金額を返還すると「一貫して」確認していたことを再度強調し、現在すべての資金がKrakenの手に戻ったと述べています。
これらの資金は送信者に734.19215 ETH、29,001 USDT、および1021.1 XMRで送られましたが、取引所は明示的に155818.4468 MATIC、907400.1803 USDT、475.5557871 ETH、および1089.794737 XMRを送るように要求しており、総額は約100,000ドル以上です。
Krakenは「white hacking」の倫理概念に固執しており、Certikによるいじめが恐喝と見なされる可能性があると主張しています。
エクスチェンジのBountyプログラムは、第三者に問題を見つけ、バグを試すために必要な最小限の金額を利用し(3百万ドルのハックを実行せずに)、リソースを返却し、脆弱性に関する詳細を提供することを要求しています。