クラーケン、ハッカーからバグ発見の引き換えに4.5億円の脅迫と発表

暗号資産（仮想通貨）取引所のクラーケン（Kraken）は、プラットフォームの脆弱性を発見したある「セキュリティ・リサーチャー」が、同取引所から約300万ドル（約4億6500万円、1ドル155円換算）を引き出した後、「恐喝」に転じたと述べた。 クラーケンの最高セキュリティ責任者ニック・パーココ（Nick Percoco）氏は、ソーシャルメディア・プラットフォーム X（旧ツイッター）への投稿で、同社が現地時間6月9日、あるセキュリティ・リサーチャーから、ユーザーが自身の残高を人為的に膨らませてしまえる脆弱性に関して「バグ報奨金プログラム」上の警告を受けたと述べた。今回のバグは「悪意ある攻撃者が条件次第では、当社のプラットフォーム上で入金を開始した際、入金を完全に完了させること無しに口座で資金を受け取れてしまうことを可能にする」と氏は付け加えた。 Kraken Security Update: On June 9 2024, we received a Bug Bounty program alert from a security researcher. No specifics were initially disclosed, but their email claimed to find an “extremely critical” bug that allowed them to artificially inflate their balance on our platform. — Nick Percoco (@c7five) June 19, 2024 この報告を受けてクラーケンは迅速に問題を修正し、ユーザーの資金に影響はなかったと氏は述べた。 クラーケンが面食らったのは、その後の展開だ。 このセキュリティ・リサーチャーは、バグの発見を他の個人2名に対して明らかにし、この両名はクラーケンの口座から300万ドル近く（約4億6500万円、1ドル155円換算）を「不正に」引き出したとされている。「引き出したのはクラーケンの金庫からであり、他の顧客資産からではない。」とパーココ氏は述べた。 当初のバグ報告では、この2名による行為については触れられておらず、クラーケンがその詳細を求めたところ、拒否された。 「その代わり、このセキュリティ・リサーチャーは自らのビジネス・デベロップメント・チーム（つまり営業担当者）と話すよう求め、今回のバグが発見されなかった場合に起こり得た推定損害額を我々が提示するまで、資金の返却に同意しなかった。これはホワイト・ハット・ハッキングではなく、恐喝だ」とパーココ氏は述べた。 クラーケンはこのセキュリティ・リサーチャーが誰かを明言しなかったが、その後、ブロックチェーン・コード・エディターのセルティック（Certik）が、クラーケンに複数の脆弱性を発見したとソーシャルメディアで投稿している。 セルティックは、「数日間のテスト」を実施し、このバグを悪用すれば数百万ドル相当の暗号資産を生み出すことができたと指摘している。「数百万ドルがクラーケン上のどの口座に対しても入金可能だ。膨大な暗号資産（100万ドル（約1億5500万円、1ドル155円換算）以上の価値）を捏造して口座から引き出し、有効なものに変換することができる。さらに悪いことに、この数日間のテスト期間中、警報が作動しなかった」と投稿で述べられている。 しかし、セルティックは、クラーケンとの初回の会話以降、事態の雲行きが怪しくなったと述べる。「クラーケンのセキュリティ・オペレーション・チームは、個々のセルティック従業員に対して非常識な時間内に勘定の合わない額の暗号資産を返済するよう脅迫し、しかも返済用アドレスの提供もなかった」とXの投稿は続く。 バグ報奨金プログラムは、セキュリティ・システムを強化するために多くの企業で利用されており、「ホワイト・ハット」と呼ばれる第三者のハッカーに脆弱性を見つけてもらうことで、悪意のある者にその穴を突かれてしまう前に企業が脆弱性を修正できるようにするものだ。クラーケンの競合であるコインベースも脆弱性を報告する同様のプログラムを実施している。 報奨金を受け取るためには、クラーケンのプログラムでは、問題を発見した第三者は必要最低限の額を用いてバグを証明し、資産を返却し、脆弱性の詳細を提供する必要がある、とクラーケンはブログ投稿で述べている。今回のセキュリティ・リサーチャーはこうしたルールに則っていないため、報奨金は得られない、と続いた。 クラーケンの広報担当者はCoinDeskの取材に対して以下のように述べた。「我々はセキュリティ・リサーチャー諸氏に対して誠意を持って対応し、10年にわたるバグ報奨金プログラムの運営においては、その尽力に多額の報奨金を提供していた。今回の経験には落胆しており、現在、このセキュリティ・リサーチャーから資産を取り戻すために法執行機関と協力している。」 ｜翻訳・編集：T.Minamoto｜画像：Alpha Rad/Unsplash｜原文：Kraken Says Hackers Turned to 'Extortion' After Exploiting Bug for $3M