暗号資産取引所「Kraken」とセキュリティ企業、資産窃取で対立

画像提供：マイナビニュース

The Hacker Newsは6月19日(現地時間)、「Kraken Crypto Exchange Hit by $3 Million Theft Exploiting Zero-Day Flaw」において、暗号資産取引所「Kraken」から300万ドル相当の暗号資産が窃取されたと報じた。

○暗号資産窃取の経緯

Krakenの発表によると、サードパーティのセキュリティ調査会社がKrakenの預金および資金調達システムに存在したゼロデイの脆弱性を発見し、この脆弱性を発見者自身が悪用したという(参考：「Kraken Bug Bounty program patches isolated bug - Kraken Blog Kraken Blog」)。

これまでのところ、Krakenはセキュリティ調査会社の企業名や、ゼロデイの脆弱性について詳細を公開していない。しかしながら、脆弱性の発見者がバグ報奨金プログラムのルールに違反したこと、そして脆弱性によりアカウントの残高を増やすことができたことを報告している。

これらのことから、脆弱性を発見したセキュリティ研究者は脆弱性を報告しながら、脆弱性を悪用し、アカウントの残高を増やしたものとみられる。

The Hacker Newsによると、脆弱性を悪用したアカウントは研究者のものを含め合計3つ存在したという。研究者以外の2つのアカウントも同じセキュリティ調査会社の従業員とみられ、複数回に渡り脆弱性を悪用して合計300万ドル近くの暗号資産を不正に増やし、引き出したとされる。

Krakenが概念実証(PoC: Proof of Concept)コードの提供と、引き出した資産を返済するよう要求すると、セキュリティ調査会社はビジネス開発チームに連絡を取り、一定額を支払うよう要求してきたという。Krakenはこの要求について不正に引き出した資産を引き換えにした恐喝だと非難している。
○影響

Krakenはこの事案による顧客への影響はないと説明している。また、同様の脆弱性が今後発生しないよう、徹底したテストを実施したという。

The Hacker Newsによると、Krakenはこの件について次のように述べ、事件化に向けた行動を開始したとしている。

セキュリティ研究者に与えられる企業へのハッキングのライセンスは、その企業が提供するバグ報奨金プログラムのルールに従うことで許可される。そのルールを無視して企業を恐喝すれば、ライセンスは剥奪される。ライセンスの剥奪は、研究者自身、研究者の所属企業を犯罪者にすることを意味する。