Kraken暗号取引所は本日、セキュリティ研究者とされる人物がゼロデイウェブサイトのバグを悪用して300万ドルの暗号通貨を盗み、その後資金の返却を拒否したことを明らかにした。
このハッキングはKrakenの最高セキュリティ責任者であるNick Percoco氏によってXで公表され、同取引所のセキュリティ・チームが6月9日にKrakenウォレットの残高を誰でも人為的に増やすことができる「極めて重大な」脆弱性に関する曖昧なバグ報告を受けたと説明した。
Krakenによると、この報告を調査したところ、攻撃者が入金を開始し、入金が失敗した場合でも資金を受け取ることができるバグを発見したという。
「数分以内に、私たちは孤立したバグを発見しました。このバグにより、悪意のある攻撃者は、適切な状況下で、当社のプラットフォーム上で入金を開始し、入金を完全に完了させることなく、その口座に資金を受け取ることができました」とPercoco氏は説明した。
「はっきり言って、顧客の資産が危険にさらされることはありませんでした。しかし、悪意のある攻撃者は、一定期間、Kraken口座にある資産を効果的に印刷することができました。”
Percoco氏によると、Krakenのセキュリティチームは1時間以内にこの欠陥を修正し、顧客が資金を入金し、決済される前に使用できるようにする最近のユーザーインターフェースの変更に起因していることを発見したという。
ここから事態は奇妙な方向へ進む。
バグを修正した後、3人のユーザーがこのバグをゼロデイとして悪用し、取引所の金庫から300万ドルを盗んでいたことが発覚したのだ。
メンバーの1人は研究者を名乗る人物とリンクしており、その人物はバグを証明するためにそれを使って自分の口座に4ドルの暗号を入金した。
しかし、Percocoによると、このバグは研究者に関連する他の2人に公開され、彼らはそれを使って盗んだ資金300万ドルをさらにKrakenの口座から引き出したという。
この引き出しについて研究者に連絡した後、Percocoによれば、研究者は暗号を返却することも、バグ開示で期待される脆弱性に関する情報を共有することも拒否したという。
「その代わりに、彼らはビジネス開発チーム(つまり、彼らの営業担当者)との通話を要求し、私たちがこのバグが開示されなかった場合に引き起こされた可能性のある推定金額を提供するまで、資金を返却することに同意していません」とPercocoは主張した。
「これはホワイト・ハット・ハッキングではなく、恐喝です。
Percocoによれば、Krakenは研究者の身元を明かさないそうだ。
Krakenは現在、これを刑事事件として扱い、法執行機関に通知しているという。
詳細についてはKrakenに問い合わせ、返答があれば記事を更新する。
Comments