米クラーケン、入金システムバグ発見の「セキュリティ研究者」と対立

バグは修正済

暗号資産(仮想通貨)取引所クラーケン(Kraken)が、預金および入金システムにバグが発生したことを6月19日報告した。

クラーケンは今回の発表に至るまで、顧客資産に影響や脆弱性ははなく、バグはすでに修正されたと報告している。

クラーケンによるとこのバグでは、特定のユーザーが短期間の間、入金を完了させずとも口座残高を人為的に増加できていたという。

クラーケンはバグを発見した企業がどこであるか明言はしていないが、web3セキュリティー企業サーティック(CertiK)だと見られている。

クラーケンは、サーティックを名指しすることはなかったものの、「バグを発見したサードパーティの研究者は、クラーケンのバグ報奨金プログラムのルールを逸脱し、悪意を持って行動した」と指摘。

バグ報奨金プログラムにおける、「脆弱性を証明するために最低限の不正しか行わない」、「抽出した資産の迅速な返却」、「概念実証コード等問題をテストした詳細を提供する」という点を遵守していないため、クラーケンはこの貢献を評価しないとした。

クラーケンの最高セキュリティ責任者のニック・パーココ(Nick Percoco)氏は、この「セキュリティ研究者」は、バグを発見する過程で最終的にクラーケンの口座から300万ドル近くを引き出したと報告。なおこれは顧客資産からではなく、クラーケンのトレジャリー(財務)から引き出されたという。

さらに「セキュリティ研究者」は、クラーケンによる活動報告及び資金返却の要求を拒否。クラーケンの営業担当者との面会を要求しており、このバグが公表されなかった場合に引き起こされる可能性のある推定金額を提示するまで、資金返却に同意していないという。

パーココ氏は、これら一覧の対応に対し、「これはホワイトハットハッキングではなく、恐喝だ!」と非難している。

サーティックは6月20日、Xにて同社が最近「クラーケンの一連の重大な脆弱性を特定した」と報告している。

放置しておけば莫大な損失につながった可能性があると指摘。

サーティックによれば同社はバグ発見後、クラーケンに報告。クラーケンのセキュリティチームはこの報告を受け、脆弱性の特定と修正に成功した後、サーティックに対し「返済用アドレスを提供することなく、不合理な時間内に釣り合わない量の暗号資産を返済するよう脅迫」してきたとのこと。「ホワイトハッカーを脅すのはやめるよう」クラーケンに呼びかけている。

なおサーティックは、同社の記録に基づき、「クラーケンがアクセスできる口座に資金を送金している」とも報告している。

関連ニュース

参考:クラーケン
images:iStock/metamorworks・PIXTA

関連するキーワード

この記事の著者・インタビューイ

髙橋知里

「あたらしい経済」編集部 記者・編集者
同志社大学神学部を卒業後、放送局勤務を経て、2019年幻冬舎へ入社。
同社コンテンツビジネス局では書籍PRや企業向けコンテンツの企画立案に従事。「あたらしい経済」編集部では記事執筆を担当。

「あたらしい経済」編集部 記者・編集者
同志社大学神学部を卒業後、放送局勤務を経て、2019年幻冬舎へ入社。
同社コンテンツビジネス局では書籍PRや企業向けコンテンツの企画立案に従事。「あたらしい経済」編集部では記事執筆を担当。

合わせて読みたい記事

【7/19話題】ポリゴンの「MATIC」から「POL」移行は9月4日に、コインチェック流出NEM収受事件の上告棄却など(音声ニュース)

ポリゴンラボ、「MATIC」の「POL」移行は9月4日に予定、最高裁、コインチェック流出NEM収受事件の上告を棄却、インド暗号資産取引所ワジールX、マルチシグウォレットのハッキング受け2億ドル超が不正流出、トランプが「ビットコインカンファレンス2024」で資金調達イベント実施か、1名参加費は約1.3億円=報道、ヴィタリック、「親クリプト派という理由だけで候補者を選ぶべきでない」と警告、米クラーケン、機関投資家向けカストディサービスを英国と豪州に拡大、コインベースにゲーム特化型L2「Ancient8(A8)」上場へ、香港金融管理局「ステーブルコイン発行者サンドボックス」にアニモカブランズら参加

Sponsored