米クラーケン、入金システムバグ発見の「セキュリティ研究者」と対立

バグは修正済

暗号資産(仮想通貨)取引所クラーケン(Kraken)が、預金および入金システムにバグが発生したことを6月19日報告した。

クラーケンは今回の発表に至るまで、顧客資産に影響や脆弱性ははなく、バグはすでに修正されたと報告している。

クラーケンによるとこのバグでは、特定のユーザーが短期間の間、入金を完了させずとも口座残高を人為的に増加できていたという。

クラーケンはバグを発見した企業がどこであるか明言はしていないが、web3セキュリティー企業サーティック(CertiK)だと見られている。

クラーケンは、サーティックを名指しすることはなかったものの、「バグを発見したサードパーティの研究者は、クラーケンのバグ報奨金プログラムのルールを逸脱し、悪意を持って行動した」と指摘。

バグ報奨金プログラムにおける、「脆弱性を証明するために最低限の不正しか行わない」、「抽出した資産の迅速な返却」、「概念実証コード等問題をテストした詳細を提供する」という点を遵守していないため、クラーケンはこの貢献を評価しないとした。

クラーケンの最高セキュリティ責任者のニック・パーココ(Nick Percoco)氏は、この「セキュリティ研究者」は、バグを発見する過程で最終的にクラーケンの口座から300万ドル近くを引き出したと報告。なおこれは顧客資産からではなく、クラーケンのトレジャリー(財務)から引き出されたという。

さらに「セキュリティ研究者」は、クラーケンによる活動報告及び資金返却の要求を拒否。クラーケンの営業担当者との面会を要求しており、このバグが公表されなかった場合に引き起こされる可能性のある推定金額を提示するまで、資金返却に同意していないという。

パーココ氏は、これら一覧の対応に対し、「これはホワイトハットハッキングではなく、恐喝だ!」と非難している。

サーティックは6月20日、Xにて同社が最近「クラーケンの一連の重大な脆弱性を特定した」と報告している。

放置しておけば莫大な損失につながった可能性があると指摘。

サーティックによれば同社はバグ発見後、クラーケンに報告。クラーケンのセキュリティチームはこの報告を受け、脆弱性の特定と修正に成功した後、サーティックに対し「返済用アドレスを提供することなく、不合理な時間内に釣り合わない量の暗号資産を返済するよう脅迫」してきたとのこと。「ホワイトハッカーを脅すのはやめるよう」クラーケンに呼びかけている。

なおサーティックは、同社の記録に基づき、「クラーケンがアクセスできる口座に資金を送金している」とも報告している。

関連ニュース

参考:クラーケン
images:iStock/metamorworks・PIXTA

関連するキーワード

この記事の著者・インタビューイ

髙橋知里

「あたらしい経済」編集部 記者・編集者

「あたらしい経済」編集部 記者・編集者

合わせて読みたい記事

【11/15話題】DMM CryptoのSeamoon Protocolが中止、FBIがポリマーケットCEO宅を捜索など(音声ニュース)

DMMのweb3事業「Seamoon Protocol」がプロジェクト中止、フランクリン・テンプルトン、「オンチェーン米国政府マネーファンド」をイーサリアムに展開、FBIが「ポリマーケット」CEO宅を家宅捜索、携帯電話や電子機器を押収、英レボリュート、暗号資産取引プラットフォーム「Revolut X」をEU30カ国に拡大、テザー、幅広い資産のトークン化プラットフォーム「Hadron by Tether」提供開始、コインベースがユートピアラボ買収、「Coinbase Wallet」のオンチェーン決済機能拡充へ、イーサL2「リネア」、ガバナンス分散化に向け非営利団体を設立、LINEA発行へ、イーサリアム研究者、コンセンサス層の再設計で「Beam Chain」提案

Sponsored

イーサL2「リネア」、ガバナンス分散化に向け非営利団体を設立、LINEA発行へ

イーサリアム(Ethereum)レイヤー2(L2)スケーリングソリューション「リネア(Linea)」が、同ネットワークをサポートするスイス拠点の非営利団体「リネアアソシエーション(Linea Association)」の設立と、2025年第1四半期にガバナンストークンLINEAの発行予定を11月13日発表した