セキュリティ会社CertiKがハッカーとなり、Kraken取引所から300万ドルを盗んだことが明らかになった。

米国現地時間6月19日、暗号通貨取引所クラーケンとブロックチェーンセキュリティ企業CertiKが、一連の深刻なセキュリティ脆弱性をめぐってソーシャルメディア上で公開対立した。
この事件は、CertiKがKrakenに発見した脆弱性に起因している：Krakenの最高セキュリティ責任者であるNick PercocoはTwitterで、同社のバグ報奨金プログラムにおいて、人間が悪用して口座残高を増やす可能性のある脆弱性を発見したと主張する"extremely serious"脆弱性報告を受けたことを明らかにした。CertiKはこれをKraken取引所のセキュリティテストと説明し、KrakenはCertiKがその脆弱性から中間利益を得たと考えた。

何が起こったのか

CertiK：Krakenにセキュリティ侵害を報告した後、CertiKの従業員は同社のセキュリティ・オペレーション・チームから脅迫を受けた。

CertiKの調査によると、Krakenの入金システムは、異なる内部送金ステータスを効果的に区別することができず、悪意のある行為者が入金トランザクションを偽造し、偽の資金を引き出すことができるリスクがあります。テスト中、Krakenのシステム上で警告が発せられることなく、数百万ドルの偽の資金がKrakenの口座に入金され、100万ドル以上の偽の暗号通貨が有効な資産に引き出される可能性がありました。CertiKがKrakenに通知した後、Krakenはこの脆弱性をクリティカルに分類し、当初はこの問題を修正した。しかし、CertiKは、Krakenのセキュリティ・チームがCertiKの従業員を脅し、返済先も示さずに不合理な時間内に不一致の暗号通貨の返済を要求したことを指摘した。

クラーケン最高セキュリティ責任者以前の脆弱性により引き出された資金は返却されました

クラーケン取引所の最高セキュリティ責任者であるニック・パーココ氏は、ソーシャル・プラットフォームにアップデートを投稿し、以前の脆弱性により引き出された資金が払い戻されたことを確認できたと述べた。

CertiK: 保有していた資金はすべて返還されましたが、総額はKrakenの要求と異なっています。

CertiKは、XプラットフォームにおけるCertiK-Krakenホワイトハット事件に関する一連の質問と回答を発表した。CertiKは、実際のKrakenユーザーの資産は研究活動に直接関与していないと述べました。Krakenとのコミュニケーション（電子メールおよびビデオ会議を通じて）において、CertiKは資金を返却することを常に保証してきました。現在保有されている資金はすべて返還されましたが、総額はKrakenの要求とは異なります。CertiKは自社の記録に基づいて返金を行います。
CertiKは脆弱性の詳細をKrakenに開示し、47分以内に修正されました。テスト後、CertiKは速やかに複数の方法でKrakenに通知し、詳細なレポートを送信しました。CertiKはKrakenの報奨金プログラムには関与しておらず、報奨金要求についても言及していません。この問題を確実に解決することに重点を置いています。
さらに、CertiKは完全なスケジュールと入金先を開示した。

Kraken、CertiKホワイトハットハッカーによる数百万ドルの暗号資産の窃盗を刑事事件として扱う；

Krakenの最高戦略責任者であるNick Percocoは、取引プラットフォームは最近の約300万ドルの損失を「犯罪事件」とみなしており、資金を回収するために法執行機関と連携していると述べた。ニック・パーココによると、無名の研究者たちは、口座に入金された資金を入金が完了する前に引き出すことで、Krakenから数百万ドルの暗号通貨を盗んだという。

CertiKは以前、OKXとCoinbaseに同じセキュリティ脆弱性がないかテストしたことがある。

KrakenとCertiKの間のセキュリティ脆弱性報告をめぐる紛争に対して、オンチェーン探偵@0xBoboShantiは、以前Certikのセキュリティ研究者によって公表されたアドレスが5月27日の時点でプローブされテストされたと主張した。さらに、テストされたアドレスの資金はCertikのTornado取引に由来しており、ウォレットは最近同じコントラクトとやりとりしていた。セキュリティ研究者はさらに、このトランザクションのCertikレポートから、Krakenの入金アドレス0xa172342297f6e6d6e7fe5df752cbde0aa655e61c（MATIC）が明らかになったと指摘した。イーサリアムネットワークでは、この同じアドレスが引き出し操作に使用されます。具体的な引き出しアドレスは以下の通りです：0x3c6a231b1ffe2ac29ad9c7e392c8302955a97bb3, 0xdc6af6b6fd88075d55ff3c4f2984630c0ea776bc and 0xc603d23fcb3c1a7d 1f27861aa5091ffa56d3a599.これらの引き出しアドレスは、多額の資金を引き出した後、UDDTをダンプし、ChangeNOWを使用して複数の最大値交換を実行します。

Baseに配備されたこのコントラクト（0x45...CeA9）は、OKXとCoinbaseでも同じテストを行い、これら2つの取引所にKrakenと同じ脆弱性があるかどうかを判断した疑いがある。

CertiKとKraken事件：ホワイトハット・ハッカーの適切な基準とは？

背景情報から判断すると、Krakenのバグ報奨金プログラムの報奨金額は確かに相当なものである。

今回のインシデントと同様のセキュリティ・インシデント・レベルの最高報酬額は100万～150万米ドルで、これはクラーケンが請求した300万米ドルと同額である。この差は決して小さくない。
この件に関しても、世間では賛否両論が巻き起こっている。コメント欄には、"ハッカーは返すべきでないと思う "という意見もあれば、"100万の懸賞金をもらうか、300万の懸賞金をもらうか？""違法な利益のために刑務所に入るか？"という意見もあった。
この物議を醸した事件は、ホワイトハット・ハッキング業界の隠れたリスクも明らかにした。

脆弱性攻撃から顧客を守るはずのセキュリティ企業が、積極的に顧客を攻撃するようでは、顧客のセキュリティは無駄になる。これは間違いなく暗号通貨業界が注意を払うべきことだ。大きな問題だ。
ホワイトハット・ハッカーの行動は、法的・倫理的紛争を避けるために、合法的かつコンプライアンスに準拠し、適切な基準を維持しなければならない。