- 著名な暗号通貨取引所であるクラーケンは、最近重大なセキュリティ脆弱性を特定しました。
- この抜け穴を利用して、研究チームは不正に300万ドル相当のデジタル資産を奪いました。
- この事件は刑事捜査を引き起こし、セキュリティプロトコルに対する懸念を高めました。
クラーケンは、研究者たちが重大なバグを悪用し、刑事捜査を招いたことで300万ドルのセキュリティ侵害に直面しています。
重大なセキュリティ欠陥の発見
驚くべきことに、クラーケンはシステムに重大な欠陥が存在するため、セキュリティ侵害が発生したことを明らかにしました。この欠陥は、6月9日にセキュリティ研究者がバグ報告を提出し、アカウント残高を人工的に増加させる独自の脆弱性を発見したと主張したときに特定されました。
悪用と即時対応
研究者とその仲間がこの欠陥を利用して大量の資金を引き出したことが判明し、事態は急速に悪化しました。クラーケンの最高セキュリティ責任者であるニック・パーココは、バグ報告を受け取った後、またたくまにバグを特定し、悪意のあるアクターが入金を開始し、入金を完了せずに資金がクレジットされ、クラーケンのアカウントに一時的に「ファントム資産」を作成することができたと述べました。この問題は、最近のユーザーエクスペリエンス(UX)機能の変更に起因しており、徹底的にテストされていませんでした。
クラーケンが恐喝の陰謀に直面
クラーケンのセキュリティチームは直ちに脆弱性を修正し、再発を防ぐために問題を1時間以内に軽減しました。しかし、さらなる調査により、短期間に3つの異なるアカウントがこの欠陥を悪用し、そのうち1つのアカウントは最初にバグを発見した研究者と関連しているとされました。この人物は問題を実証するために少量の暗号通貨をアカウントにクレジットしましたが、その後、脆弱性を他の2人と共有し、合計で約300万ドルを不正に取得しました。
調査と法的措置
関与した個人に対して盗まれた資金の返還を求めたところ、クラーケンは抵抗されました。研究者たちは協力を拒否し、バグが発見されなかった場合の潜在的な損害を推測し、クラーケンのビジネス開発チームと交渉しようとしました。パーココは、研究チームの行動を正当なセキュリティ慣行ではなく恐喝と表現しました。クラーケンには明確なルールを持つ長年のバグ報告プログラムがあり、必要最低限の証明を超えて脆弱性を悪用することを禁止し、抽出された資産の即時返還を要求しています。
法的措置と今後の対策
クラーケンは恐喝の試みに応じてこの問題を刑事事件として扱うことを決定し、法執行機関と協力しています。パーココは、クラーケンのセキュリティと公正なバグ報告慣行にコミットしており、これは孤立した事件であることを強調しました。取引所は最初のバグ報告に感謝の意を表しつつ、関与した研究者たちの不道徳な行動により法的措置が行われることを明らかにしました。
結論
この事件は、暗号通貨業界における堅牢なセキュリティ対策と倫理的行動の重要性を浮き彫りにしています。クラーケンの迅速な対応によりさらなる損失が軽減されましたが、この出来事は取引所がプラットフォームを継続的にテストし、安全性を確保する必要があることを強調しています。クラーケンが法的措置を進める中で、業界はセキュリティ研究者の信頼できる行動を強化し、暗号通貨エコシステムの統合性と信頼を維持することが重要です。