執筆者: Yangz、Techub News

昨日の夕方、Kraken の最高セキュリティ責任者であるNick Percoco氏は、Kraken チームが 6 月 9 日にバグ報奨金報告書を受領したことを明らかにする文書を発表し、攻撃者が入金残高を完了することなく人為的にアカウントを増やすことを可能にする「非常に深刻な」脆弱性を発見したと述べた。 。 Kraken チームは数時間以内にこの脆弱性を修正しましたが、綿密な調査により、この脆弱性が 3 つのアカウントによって悪用されたことが判明しました。アカウントの 1 つの KYC 情報は「セキュリティ研究者」を名乗り、脆弱性を悪用してアカウントに 4 ドルの仮想通貨を入金し、バグ報奨金レポートを提出しました。しかし、より重要なのは、その「研究者」がその脆弱性を一緒に働いていた他の 2 人に暴露し、その結果、クランケンの財務省から 300 万ドル近くが引き出しられたということです。

Percoco 氏によると、最初のレポートでは脆弱性の詳細が完全に開示されていなかったため、チームは上記のアカウントに連絡し、通常のバグ報奨金プロセスに従って資金の返還を手配し、その「ホワイトハット行動」に報いる計画を立てたとのことです。しかし予想外に、その「セキュリティ研究者」はクラーケンの事業開発チームに電話を要求し、脆弱性が引き起こす可能性のある損害の量で報われない限り資金は返さないと述べた。

このようにして、「ホワイトハッカー」は即座に「恐喝」となった。パーココも「この調査会社」の名前を明らかにしないことを決定し、この問題を刑事事件として扱い、法執行機関と調整する予定だ。

この問題はひとまず終わると思っていたが、驚いたことに、Percoco が記事を投稿してから 3 時間後にセキュリティ会社 CertiK が自動的に立ち上がって、「Kraken にセキュリティ上の脆弱性を発見した。その脆弱性が数百件の被害につながる可能性がある」と発表した。数百万ドルの損失。

CertiKは、テストを通じてKrakenに関する3つの大きな問題を発見し、数日間のテスト期間中にKrakenアラートはトリガーされなかったと述べた。 CertiKは、Krakenが脆弱性を正式に報告してから対応するまでに数日かかったと述べた。さらに、この脆弱性が修正された後、Kraken セキュリティ運用チームは CertiK の各従業員に対し、返済先住所も提供せずに、不一致の金額の暗号通貨を不当な期間内に返済するよう脅迫しました。

一時は、対立する双方がCertiKの行為を「犯罪」とみなす見解が異なっていたが、CertiK側は「ホワイトハッカーに対するあらゆる脅威を止める」よう要求していた。

この件に関しては、CTに関して多くの議論があったが、レビューは基本的にCertiKを非難する方向に偏っていた。特に、CertiK が脆弱性を Kraken に報告する前に数日間テストを実施した理由は不可解です。この質問に対して CertiK は、「本当の疑問は、なぜ Kraken の多層防御システムがこれほど多くのテスト トランザクションを検出できなかったのかということであるはずです。」と答えました。

事件が発展するにつれて、より多くの詳細がネチズンによって明らかにされました。 @lilbagscientistは、Certik が 5 月 27 日に実際にテストされたとツイートしました。セキュリティ会社Cyversの最高技術責任者Meir Dolev氏によると、CertiKは「OKXとCoinbaseに対して同様のテストを実施し、これら2つの取引所にKrakenと同じ脆弱性があるかどうかを確認した」という。さらに、Certik 関連のアドレスもこの期間中にいくつかのアセットを Tornado と ChangeNOW に送信しましたが、これは不可解です。 CoinbaseのプロダクトディレクターConor Grogan氏はCertiKのコメント欄に「Tornado CashがOFAC制裁の対象であることは知っていますよね？そして登録は米国ですよね？」と書いた。

さらに、業界で認められたトップのホワイトハットハッカーとして、ParadigmのリサーチパートナーであるSamczsunは、 Certikの以前の資金調達ニュースを転送しました（2022年4月、CertiKはInsight Partners、Tiger Global、Advent Internationalの主導で8,800万米ドルの資金調達を完了し、投資先（ゴールドマン・サックス、セコイア、ライトスピード・ベンチャーを含む）は「私は米国の取引所をハッキングし、300万ドルを盗み、投資理由を説明しなければならなかった企業にOFACでブロックされたプロトコルを通じて投資資金を洗浄した。パートナーはお悔やみを送っている」と冗談を言った。そして祈りを捧げます。」

圧倒的な告発に比べると、CertiKを擁護する声を上げる人は多くありませんが、考慮に値する意見がいくつかあります。 @trading_axeは CertiK のコメント欄で、「資産を盗みたいなら、なぜ 300 万ドルで妥協するのですか? すべてを奪って命がけで逃げるべきです... 300 万をハッキングして、その後強制的に返却するだけです。そう見えるだけです」確かに、CertiK が 300 万ドルのためだけに「盗む」のは愚かなことでしょう。

@BoxMrChen は、ホワイト ハットとしての自身の経験を利用して、CertiK セキュリティ研究者の行動についての理解を表明しました。 @BoxMrChen 氏は、バグ報奨金には実際には多くの裏があると述べました。一部のプロジェクト関係者は、「脆弱性の重複提出」を理由にホワイトハッカーへの報奨金の提供を拒否したり、脆弱性のリスクレベルを意図的に下げて報奨金の数を減らすことができます。さらに、プロジェクト当事者が寛大に数万ドルのトークン報奨金を提供したとしても、ホワイトハットハッカーは依然として承認プロセスを待たなければならないことが多く、数か月が経過してもトークンは 90% 減少しており、報奨金はまだ残っています。承認された。 @BoxMrChen は、CertiK のセキュリティ研究者は、Kraken のリスク管理が判明するのを待ち、その後交渉したかったのではないかと推測しています。 Kraken に何も起こらないようになってから 5 日後、Kraken は脆弱性レポートの提出を開始しました。

@BoxMrChen は次のように結論付けました。「CertiK のやっていることは確かに物議を醸していますが、このサークルではいわゆる無罪と正義がどれだけの価値があるのでしょうか。これらと比較して、何が起こるかを見るために Kraken が CertiK にいくらの賞金を支払うつもりなのか知りたいのです。貪欲で狡猾なCertiKなのか、それとも貪欲で狡猾なKrakenなのか？

現時点では、CertiK はすべての資金が返還されており、この事件には実際のユーザー資金の損失は含まれていないと発表しました。 CertiKは、Krakenの保護とリスク管理の限界をテストしたかったため、複数の大規模なテストを実施したと述べた。しかし、数日間にわたって複数のテストを実施し、約 300 万の暗号通貨を使用した後でも、アラートはトリガーされませんでした。さらに、CertiKは、Krakenの報奨金プログラムには参加していないと述べ、TwitterとLinkedInを通じてKrakenの関係者とCSO Nickにのみ連絡し、最終的に詳細な報告書を電子メールで送信したと述べた。さらに、「チームは報奨金を要求したことは一度もありません」。

現時点で、この事件は終結している。CertiK は一部の資産を Tornado と ChangeNOW に移管するという問題には応じていない。 KrakenはCertiKが返却した資産についてはまだコメントしていない。誰が嘘をつきましたか？ CertiK と Kraken 自身だけが知っています。現時点での情報はすべて推測に過ぎず、今後チャット記録などの本当の証拠が出てくるかどうかは不明だ。 CertiKが資金を返還した以上、おそらくこの問題はいわゆる「和解」で終わることになるだろう。