이 기사에서는 믿기 어려운 이야기에 대해 이야기합니다: 며칠 전, 감사 회사 Certik는 crypto exchange Kraken의 보안 시스템에서 심각한 해킹으로 이어질 수 있는 결함을 발견했습니다.
3일 동안 몇 가지 테스트를 수행하고 300만 달러 규모의 “white hack” 공격을 수행한 후, Certik은 Kraken에게 버그에 대해 알리기 위해 연락했지만, 처음에는 도난당한 금액을 즉시 반환하는 것을 거부했습니다.
암호화폐 거래소는 상황을 범죄 사건으로 간주하여 즉시 법 집행 기관에 연락했으며, 암호 보안 회사는 이것이 “bounty program”의 일반적인 테스트라고 주장합니다. 현재 자금이 반환된 것으로 보입니다.
아래에서 모든 세부 사항을 살펴보겠습니다.
Summary
3백만 달러 규모의 크라켄 암호화폐 거래소 해킹: Certik이 책임이 있지만, 돈을 반환하기를 거부
이 이야기는 2024년 6월 9일에 시작됩니다, crypto exchange Kraken이 “보안 연구원”으로부터 비공식적인 통지를 받았을 때, 그가 취약점 을 발견했다고 주장한 플랫폼에서 대규모 해킹을 초래할 수 있었습니다.
Nick Percoco, Kraken의 Chief Security Officer가 사후 트윗에서 보고한 바에 따르면, 연구원은 sicurezza 시스템에서 (내부 전송 상태를 구분하지 못하는) 결함을 발견했다고 합니다. 이 결함은 사용자가 자신의 잔액을 부풀리고 실제로 가지고 있는 것보다 더 많은 coins를 인출할 수 있게 합니다. 거래소는 문제를 해결하기 위해 즉시 조치를 취했으며, 단 47분 만에 전문가 팀이 bug를 수정했습니다.
다음은 Percoco의 보고 내용입니다:
“버그는 적절한 상황에서 악의적인 공격자가 우리 플랫폼에 입금을 시작하고 입금을 완전히 완료하지 않고도 자신의 계좌로 자금을 받을 수 있게 했습니다. 분명히 하기 위해, 고객의 자산은 결코 위험에 처한 적이 없습니다”
지금까지는 모든 것이 정상입니다. 보안 회사 web3 에서 일하는 연구원이 Kraken에 연락하기 전에 공식적으로 버그를 알리기 전에 플랫폼에서 총 300만 달러의 여러 해킹을 수행했다고 합니다.
Subito dopo la pubblicazione del post di Percoco, la nota firma di auditing Certik si è subito presa la responsabilità dell’accaduto ed ha rivelato il proprio ruolo determinante nella faccenda.
퍼코코의 게시물이 게시된 직후, 유명한 감사 회사 Certik은 즉시 사건에 대한 책임을 지고 이 사건에서 결정적인 역할을 했음을 밝혔습니다.
Certik는 Kraken의 방어 메커니즘을 테스트하기 위해 대규모 공격을 실행하고, 3개의 다른 계정에서 대량의 MATIC 토큰을 인출한 후 Tornado Cash 믹서를 통해 자금의 흔적을 지웠다고 합니다.
거래소의 보안 책임자가 설명한 바와 같이, 문제를 해결한 후, Kraken은 Certik에게 자금을 반환할 것을 요청했지만, 그녀는 처음에 거부했습니다.
그럼에도 불구하고 Certik는 자신의 활동이 “white hack” 원칙에 부합한다고 주장합니다.
보아하니 Certik은 사건에서 3개의 exploiter 계정의 역할을 언급하지 않았으며, Kraken과의 소통 전 3일 동안 출금 테스트를 수행했음에도 불구하고 그렇지 않았습니다.
보안 연구원이 버그를 발견했으며, 큰 해킹으로 이어질 수 있는 큰 결함을 발견한 대가로 상당한 보상을 요구했지만, Kraken은 자신의 자금을 돌려받기를 고집했습니다.
감사 회사가 전리품을 반환하기를 거부하고, 오히려 해킹의 증거를 은폐하려는 움직임을 보였기 때문에, 거래소는 이 상황을 범죄 사건으로 간주하고 관련 당국과 법 집행 기관에 통보하기로 결정했습니다.
웹3 보안 회사는 이 버그가 공개되지 않았다면 초래할 수 있었던 추정 금액과 동일한 bounty 상금을 거래소에 요청했으며, 이는 거래 플랫폼 팀을 격분하게 만들었습니다.
Percoco ha commentato sul suo profilo X quando accaduto, mostrando tutta la sua contrarietà nei confronti del comportamento di Certik:
“이것은 white hacking이 아니라, 이것은 estersione입니다”.
Certik의 반박: 일부 직원이 Kraken 팀으로부터 위협을 받았음에도 불구하고 자금이 반환되었습니다
Certik, 자신을 입금 시스템의 취약점을 발견한 책임 회사로 소개한 후, Kraken이 말한 내용을 즉시 부인하며 “white hack” 역할과 긍정적인 의도를 강조했습니다.
회사는 300만 달러 규모의 대규모 해킹을 실행했다고 밝혔으며, 이는 exchange의 방어를 테스트하기 위한 목적이었지만, 결코 전리품을 반환하는 것을 거부한 적이 없으며 오히려 모든 것이 올바르게 수행되었는지 확인하고자 했다고 강조했습니다.
Certik는 버그가 초래할 수 있는 잠재적인 부정적 영향에 놀랐지만, 특히 Kraken의 경보가 전혀 작동하지 않았다는 사실에 더욱 놀랐다고 말했습니다. 다음은 게시물에서 언급된 내용입니다:
“수백만 달러가 QUALSIASI Kraken 계좌에 입금될 수 있습니다. 100만 달러 이상의 가치가 있는 대량의 암호화폐가 계좌에서 인출되어 유효한 암호화폐로 변환될 수 있습니다. 더 나쁜 것은, 여러 날의 테스트 기간 동안 경고가 활성화되지 않았다는 것입니다”.
또한 감사 회사는 거래소 팀의 한 구성원이 자신의 연구원에게 합리적이지 않은 시간 내(6시간)에 금액을 반환하라고 위협했지만, repayment 주소를 제공하지 않았다고 설명했습니다.
이것은 해킹이 발생한 지 며칠 후, 두 회사가 해결책을 찾고 문제를 해결하기 위해 전화로 연락한 후에 이루어졌습니다.
보아하니 혼란을 일으킨 것은 Kraken이 제안한 bounty 보상 금액이었으며, 이는 수행된 노력과 예방된 잠재적 exploit에 비해 적절하지 않다고 여겨졌습니다. 실제로 Kraken 대변인이 Coindesk에 보고한 바와 같이:
“우리는 선의로 이 연구자들을 참여시켰고, 10년간의 bug bounty 프로그램 관리와 일치하게 그들의 노력에 대해 상당한 보상을 제공했습니다. 우리는 이 경험에 실망했으며 이제 이 보안 연구자들로부터 자산을 회수하기 위해 법 집행 기관과 협력하고 있습니다”.
오늘 Certik는 자신의 입장을 더욱 명확히 하고 모든 의심을 없애기 위해 FAQ를 포함한 또 다른 게시물을 게시했습니다.
보안 회사는 도난당한 금액을 “일관되게” 반환할 것이라고 재확인했으며, 이제 모든 자금이 Kraken의 손에 돌아왔다고 주장합니다.
이 자금은 734.19215 ETH, 29,001 USDT 및 1021.1 XMR로 발신자에게 반환되었으며, 거래소는 155818.4468 MATIC, 907400.1803 USDT, 475.5557871 ETH 및 1089.794737 XMR를 보내달라고 명시적으로 요청했으며, 총 가치가 약 100,000달러 이상입니다.
Kraken은 “white hacking”의 윤리 개념에 대해 확고한 입장을 유지하며 Certik의 bull 행위가 갈취로 식별될 수 있다고 주장합니다.
거래소의 Bounty 프로그램은 제3자가 문제를 찾아내고, 버그를 테스트하기 위해 필요한 최소 금액을 사용하며 (300만 달러의 해킹을 실행하지 않고), 자원을 반환하고 취약성에 대한 세부 정보를 제공할 것을 요구합니다.
