米クラーケン、入金システムバグ発見の「セキュリティ研究者」と対立

バグは修正済

暗号資産(仮想通貨)取引所クラーケン(Kraken)が、預金および入金システムにバグが発生したことを6月19日報告した。

クラーケンは今回の発表に至るまで、顧客資産に影響や脆弱性ははなく、バグはすでに修正されたと報告している。

クラーケンによるとこのバグでは、特定のユーザーが短期間の間、入金を完了させずとも口座残高を人為的に増加できていたという。

クラーケンはバグを発見した企業がどこであるか明言はしていないが、web3セキュリティー企業サーティック(CertiK)だと見られている。

クラーケンは、サーティックを名指しすることはなかったものの、「バグを発見したサードパーティの研究者は、クラーケンのバグ報奨金プログラムのルールを逸脱し、悪意を持って行動した」と指摘。

バグ報奨金プログラムにおける、「脆弱性を証明するために最低限の不正しか行わない」、「抽出した資産の迅速な返却」、「概念実証コード等問題をテストした詳細を提供する」という点を遵守していないため、クラーケンはこの貢献を評価しないとした。

クラーケンの最高セキュリティ責任者のニック・パーココ(Nick Percoco)氏は、この「セキュリティ研究者」は、バグを発見する過程で最終的にクラーケンの口座から300万ドル近くを引き出したと報告。なおこれは顧客資産からではなく、クラーケンのトレジャリー(財務)から引き出されたという。

さらに「セキュリティ研究者」は、クラーケンによる活動報告及び資金返却の要求を拒否。クラーケンの営業担当者との面会を要求しており、このバグが公表されなかった場合に引き起こされる可能性のある推定金額を提示するまで、資金返却に同意していないという。

パーココ氏は、これら一覧の対応に対し、「これはホワイトハットハッキングではなく、恐喝だ!」と非難している。

サーティックは6月20日、Xにて同社が最近「クラーケンの一連の重大な脆弱性を特定した」と報告している。

放置しておけば莫大な損失につながった可能性があると指摘。

サーティックによれば同社はバグ発見後、クラーケンに報告。クラーケンのセキュリティチームはこの報告を受け、脆弱性の特定と修正に成功した後、サーティックに対し「返済用アドレスを提供することなく、不合理な時間内に釣り合わない量の暗号資産を返済するよう脅迫」してきたとのこと。「ホワイトハッカーを脅すのはやめるよう」クラーケンに呼びかけている。

なおサーティックは、同社の記録に基づき、「クラーケンがアクセスできる口座に資金を送金している」とも報告している。

関連ニュース

参考:クラーケン
images:iStock/metamorworks・PIXTA

関連するキーワード

この記事の著者・インタビューイ

髙橋知里

「あたらしい経済」編集部 記者・編集者

「あたらしい経済」編集部 記者・編集者

合わせて読みたい記事

【12/19話題】バイナンスジャパンが「Launchpool」提供へ、香港で暗号資産取引所4社が承認など(音声ニュース)

ブロックチェーン・仮想通貨(暗号資産)・フィンテックについてのニュース解説を「あたらしい経済」編集部が、平日毎日ポッドキャストでお届けします。Apple Podcast、Spotify、Voicyなどで配信中。ぜひとも各サービスでチャンネルをフォロー(購読登録)して、日々の情報収集にお役立てください。

Sponsored

トランプ一族のDeFiプロジェクトがDeFi「エセナ」開発会社と提携。「ENA」追加購入も

次期米大統領ドナルド・トランプ(Donald Trump)氏とその家族が関わる暗号資産(仮想通貨)プロジェクト「ワールド・リバティ・ファイナンシャル(World Liberty Financial:WLF)」が、DeFi(分散型金融)プラットフォーム「エセナ(Ethena)」開発のエセナ・ラボ(Ethena Labs)と提携すると12月19日に発表した