Kraken取引所の300万ドルの盗難により、CertiKは「脅威」を感じる – なぜ？

• Krakenのバグにより300万ドルの盗難が発生し、セキュリティ対策をめぐる論争が巻き起こった。
• CertiKは、脆弱性発覚後のクラーケンの返済要求を批判し、取引所の不確実性を高めた。

予想外の展開として、大手暗号通貨取引所のKrakenは6月19日、ユーザーがアカウント内で無料で資金を生成できるバグに何ヶ月も対処していたことを明らかにした。

この問題は、セキュリティ研究者がKrakenのシステムに「極めて重大なバグ」があると警告したことで発覚した。

クラーケン取引所が争奪戦？

このバグにより、少なくとも300万ドル相当のデジタル資産が引き出され、話題となった。この状況について、 ニコラス・ペルココクラーケンの最高セキュリティ責任者はX（旧Twitter）で次のように述べた。

この事件にもかかわらず、同社は「顧客の資産が危険にさらされたことは一度もない」と主張した。さらに、ペルココは 説明 ユーザーは実際に入金手続きを完了することなく、入金を開始することでクラーケンのアカウントに資金を入金できる可能性がある。彼は次のように述べた。

「悪意のある攻撃者は、一定期間、Krakenアカウントの資産を事実上印刷する可能性があります。」

「セキュリティ研究者」は、このバグを利用して自分のアカウントに4ドル相当の暗号通貨を入金した。これは、欠陥を報告して報酬を受け取るには十分な金額だった。

しかし、研究者は欠陥を報告する代わりに、その情報を2人の仲間と共有し、2人はクラーケンから約300万ドルを引き出した。

この問題に関するユーザーの懸念について、クラーケンは次のように主張した。

「これはクラーケンの金庫からのものであり、他の顧客資産からのものではない。」

研究者からの予想外の反応

言うまでもなく、バグ報奨金プログラムの標準的な慣行として、Kraken が研究者に金銭の返還と詳細の提供を求めたところ、研究者は協力を拒否しました。

これに対して、 ペルココはこう答えた。

クラーケンのCSOは、これに対する不満を表明し、次のように述べた。

「『ホワイトハットハッカー』に盗んだものを返還するよう要求したことが、不合理で非専門的だと非難されています。信じられません。」

CertiK: セキュリティ研究者

しかし、ブロックチェーンセキュリティ会社が 証明書 同社は「セキュリティ研究者」と名乗り、公表した。

「脆弱性の特定と修正に関する最初の成功した転換の後、Krakenのセキュリティ運用チームは、返済先アドレスを提供することなく、不合理な時間内に不一致の量の暗号通貨を返済するようCertiKの個々の従業員に脅迫しました。」

これは当初批判を浴びたが、ロトキアップの創設者レフテリス・カラペツァス氏は次のように述べた。

しかし、CertiK の脆弱性特定における実績を考えると、交換の結果は不確実です。

これは英語版からの翻訳です。