The Hacker Newsは6月19日(現地時間)、「Kraken Crypto Exchange Hit by $3 Million Theft Exploiting Zero-Day Flaw」において、暗号資産取引所「Kraken」から300万ドル相当の暗号資産が窃取されたと報じた。

Kraken Crypto Exchange Hit by $3 Million Theft Exploiting Zero-Day Flaw

○暗号資産窃取の経緯

Krakenの発表によると、サードパーティのセキュリティ調査会社がKrakenの預金および資金調達システムに存在したゼロデイの脆弱性を発見し、この脆弱性を発見者自身が悪用したという(参考:「Kraken Bug Bounty program patches isolated bug - Kraken Blog Kraken Blog」)。

これまでのところ、Krakenはセキュリティ調査会社の企業名や、ゼロデイの脆弱性について詳細を公開していない。しかしながら、脆弱性の発見者がバグ報奨金プログラムのルールに違反したこと、そして脆弱性によりアカウントの残高を増やすことができたことを報告している。

これらのことから、脆弱性を発見したセキュリティ研究者は脆弱性を報告しながら、脆弱性を悪用し、アカウントの残高を増やしたものとみられる。

The Hacker Newsによると、脆弱性を悪用したアカウントは研究者のものを含め合計3つ存在したという。研究者以外の2つのアカウントも同じセキュリティ調査会社の従業員とみられ、複数回に渡り脆弱性を悪用して合計300万ドル近くの暗号資産を不正に増やし、引き出したとされる。

Krakenが概念実証(PoC: Proof of Concept)コードの提供と、引き出した資産を返済するよう要求すると、セキュリティ調査会社はビジネス開発チームに連絡を取り、一定額を支払うよう要求してきたという。Krakenはこの要求について不正に引き出した資産を引き換えにした恐喝だと非難している。

○影響

Krakenはこの事案による顧客への影響はないと説明している。また、同様の脆弱性が今後発生しないよう、徹底したテストを実施したという。

The Hacker Newsによると、Krakenはこの件について次のように述べ、事件化に向けた行動を開始したとしている。

セキュリティ研究者に与えられる企業へのハッキングのライセンスは、その企業が提供するバグ報奨金プログラムのルールに従うことで許可される。そのルールを無視して企業を恐喝すれば、ライセンスは剥奪される。ライセンスの剥奪は、研究者自身、研究者の所属企業を犯罪者にすることを意味する。

○脆弱性を発見したセキュリティ調査会社とは

ブロックチェーンセキュリティ企業の「CertiK」は2024年6月20日、Xへの投稿で脆弱性を発見したことを明らかにした(参考:「CertiKのXへの投稿」)。

CertiKのXへの投稿

CertiKは次のように述べ、Krakenの対応を非難している。

Krakenのセキュリティオペレーションチームは脆弱性の特定と修正に初期段階で成功した後、CertiKの従業員個人に対して返済用アドレスを提示することなく、理不尽な時間内にミスマッチした金額(テストで作り出した架空の暗号資産)を返済するように脅迫した。ホワイトハットハッカーに対する脅迫をやめるようKrakenに強く求める。

公開された情報だけでは、どちらの主張が真実で、また正当性があるのかは判断できない。しかしながら、存在しないはずの暗号資産がKrakenからCertiKの従業員に送金されたことは誰も否定していない。不正に取得した暗号資産の返済と、報奨金が既定通りに支払われ、無事に解決することが望まれる。