CertiK「対立」Kraken：ホワイトハットハッカーの尺度、果たしてどのように適切なのか？

著者：jk、Odaily星球日报

アメリカ現地時間6月19日、暗号通貨取引所Krakenとブロックチェーンセキュリティ会社CertiKは、ソーシャルメディア上で一連の深刻なセキュリティ脆弱性問題について公開対峙しました。

事件は、Kraken上でCertiKが発見した脆弱性に端を発します。Krakenの最高セキュリティ責任者Nick PercocoはTwitterで、「脆弱性報奨プログラムにおいて、非常に深刻な脆弱性報告を受け取った」と明らかにし、その報告はアカウントの残高を人為的に増加させることができる脆弱性を発見したと主張しています。 CertiKはこれをKraken取引所に対するセキュリティテストと称し、KrakenはCertiKがその間に脆弱性を利用して利益を得たと考えています。双方は主張を譲らず、激しい対立が続いています。

Krakenの事件開示

以下は、Krakenの最高セキュリティ責任者がXプラットフォームで発表した事件の経緯です：

「2024年6月9日、私たちは脆弱性報奨プログラムを通じて安全研究者から警告を受け取りました。最初は具体的な情報はありませんでしたが、彼らは「非常に深刻な」脆弱性を発見したと主張し、私たちのプラットフォーム上で残高を人為的に増加させることができると述べました。

私たちは毎日、自称「安全研究者」と名乗る人々から虚偽の脆弱性報告を受け取っています。これは脆弱性報奨プログラムを運営する者にとっては新しいことではありません。しかし、私たちはこの問題を非常に重視し、迅速にクロスファンクショナルチームを結成して調査を行いました。以下は私たちの発見です。

数分以内に、孤立した脆弱性を発見しました。特定の状況下で、この脆弱性は悪意のある攻撃者が入金が完全に完了していない状態で入金操作を開始し、彼らのアカウントに資金を受け取ることを可能にしました。

明確にする必要がありますが、顧客の資産は決して危険にさらされていません。 しかし、悪意のある攻撃者は一時的に彼らのKrakenアカウントに資産を生成することができました。

私たちはこの脆弱性を「クリティカル」と評価し、1時間以内（正確には47分）に私たちの専門チームがこの問題を緩和しました。数時間以内に、この問題は完全に修正され、再発はありません。

私たちのチームは、この脆弱性が最近のユーザーエクスペリエンス（UX）の変更に起因していることを発見しました。この変更は、顧客の資産が決済される前に顧客アカウントに即座に記帳され、顧客がリアルタイムで暗号通貨市場を取引できるようにします。このUXの変更は、この特定の攻撃ベクトルに対して十分にテストされていませんでした。

リスクを修正した後、私たちは徹底的な調査を行い、数日以内にこの脆弱性を利用した3つのアカウントを迅速に特定しました。詳細な調査の結果、そのうちの1つのアカウントが自称安全研究者の個人にKYCで関連付けられていることに気付きました。

その個人は私たちの資金システムでこの脆弱性を発見し、彼のアカウント残高を4ドル増加させました。 これは脆弱性の存在を証明するのに十分であり、私たちのチームに脆弱性報告を提出し、私たちのプログラムの条項に基づいてかなりの報酬を得ました。

しかし、この「安全研究者」はこの脆弱性を彼と協力している他の2人に漏らし、彼らはこの脆弱性を利用してより大きな金額を不正に生成しました。彼らは最終的に彼らのKrakenアカウントから約300万ドルを引き出しました。これらの資金はKrakenの金庫からのものであり、他の顧客の資産ではありません。

最初の脆弱性報告はこれらの取引情報を完全には開示していなかったため、私たちは安全研究者に連絡し、彼らが私たちのプラットフォーム上で発見したセキュリティ脆弱性を確認するための詳細を確認しました。

その後、私たちは彼らに活動の詳細な説明を提供し、オンチェーン活動の概念実証を作成し、彼らが引き出した資金を返還するように手配するよう求めました。これはどの脆弱性報奨プログラムでも一般的な慣行です。これらの安全研究者は拒否しました。

代わりに、彼らは彼らのBDチーム（つまり、彼らの営業代表）との通話を要求し、私たちが仮定の損失額を提示する前に、いかなる資金も返還することに同意しませんでした。これはホワイトハットハッカーの行動ではなく、恐喝です！

私たちはKrakenで脆弱性報奨プログラムをほぼ10年間運営しています。このプログラムは内部で運営されており、コミュニティの中で最も優れた才能の一部がフルタイムで責任を持っています。私たちのプログラムは、多くの他のプログラムと同様に、明確なルールがあります：

• 脆弱性を証明するために必要な範囲を超えて引き出さないこと。

• あなたの作業を示すこと（つまり、概念実証を提供すること）。

• 引き出したものはすぐに返還しなければならない。

私たちは合法的な研究者との協力において問題に直面したことはなく、常に積極的に応じています。

透明性のために、私たちは今日この脆弱性を業界に開示しました。私たちは「ホワイトハットハッカー」に対して、私たちから盗んだものを返還するよう求めることが不合理で非専門的であると非難されました。これは信じられないことです。

安全研究者として、あなたの「ハッカー」ライセンスは、あなたが参加している脆弱性報奨プログラムの単純なルールに従うことで有効になります。これらのルールを無視し、企業を恐喝することは、あなたの「ハッカー」ライセンスを取り消すことになります。これはあなたとあなたの会社を犯罪者にします。

私たちはこの研究会社の名前を明らかにしません。なぜなら、彼らの行動は認められるに値しないからです。私たちはこれを刑事事件と見なし、法執行機関と協力して対処しています。この問題の報告に感謝しますが、それだけです。

私たちの脆弱性報奨プログラムは、Krakenの使命において重要な役割を果たし、暗号エコシステム全体のセキュリティを強化する努力の重要な部分です。私たちは将来の誠実な行為者との協力を楽しみにしており、これを独立した事件と見なしています。」

CertiKの応答

Krakenが安全研究者が所属する会社の具体的な名前を発表しなかった数時間後、CertiKはXプラットフォームでこの事件に対する応答を発表しました。以下はCertiKの公式Xプラットフォームで発表された応答です：

「CertiKは最近、Kraken取引所で一連の深刻な脆弱性を発見しました。これにより数億ドルの損失が発生する可能性があります。

Krakenの入金システムで問題が発見され始め、このシステムは異なる内部転送状態を区別できない可能性があるため、私たちは徹底的な調査を行い、以下の3つの問題に焦点を当てました：

1. 悪意のある行為者はKrakenアカウントに対して入金取引を偽造できるか？

2. 悪意のある行為者は偽造された資金を引き出せるか？

3. 大額の引き出し要求はどのようなリスク管理と資産保護を引き起こすか？

私たちのテスト結果によれば、Kraken取引所はこれらすべてのテストを通過しておらず、これはKrakenの深層防御システムが複数の面で破壊されていることを示しています。数百万ドルが任意のKrakenアカウントに入金される可能性があります。100万ドルを超える偽造された暗号通貨はアカウントから引き出され、有効な暗号通貨に変換される可能性があります。さらに悪いことに、数日間のテスト期間中に、いかなる警告も発動しませんでした。 Krakenは私たちが正式に事件を報告した後にのみ応答し、テストアカウントをロックしました。

発見後、私たちはKrakenに通知し、そのセキュリティチームはこれを「クリティカル」レベルとして分類しました。これはKrakenの最も深刻なセキュリティ事件の分類レベルです。

最初に脆弱性を成功裏に特定し修正した後、Krakenのセキュリティ運営チームは、個別のCertiK社員に対して不合理な時間内に不一致の数量の暗号通貨を返還するよう脅迫し、返還アドレスすら提供しませんでした。

透明性の精神とWeb3コミュニティへのコミットメントに基づき、私たちはすべてのユーザーの安全を守るためにこれらの情報を公開します。私たちはKrakenに対してホワイトハットハッカーへのいかなる脅迫も停止するよう促します。

私たちは共にリスクに直面し、Web3の未来を守ります。」

その後、CertiKは全てのタイムラインと入金アドレスを開示しました。

CertiKが発表したタイムライン。出典：CertiK公式X

同時に、CertiKは、Krakenが返還アドレスを提供せず、要求された返還金額が完全に不一致であるため、記録に基づいて既存の資金をKrakenがアクセスできるアカウントに移動したと述べました。

その他のニュースとその後のコメント

背景情報として、Krakenの脆弱性報奨プログラムの報酬額は確かにかなりのものであり、今回の事件に類似した最高のセキュリティ事件レベルの報酬は100万〜150万ドルの間です。 これはKrakenが主張する300万ドルの金額とは大きな差があるため、コメント欄では「ハッカーは返さなくていい」と言う人もいれば、「100万ドルの報酬を得るのか、それとも300万ドルの不正所得を持って牢屋に入るのか？」と返す人もいました。

Kraken脆弱性報奨プログラムの賞金。出典：Kraken

オンチェーン探偵ZachXBTは言いました：「この話は進むにつれてますます荒唐無稽になっていく（Story only gets more wild as it goes on）。」

また、Twitterユーザー@trading_axeは別の視点から言いました：「私は（CertiK）が失敗したと思います……彼らがこれを盗みだとは言っていませんが、小さな泥棒は彼らが持っているものをすべて持ち去って逃げるでしょう。彼らが失敗したのは、300万ドルしか取らなかったことです；もし彼らがこのバグを使って1億以上を盗んでいたら、返してもホワイトハットに見えるでしょう（言外の意味は、そうすれば彼らは救世主のように見える/主導権を持つことができる）。しかし、あなたは300万ドルしか取らず、今返さざるを得ないのは、非常に弱い印象を与えます。」