クラーケン、入金システムのバグを修正　4億円超の資産を引き出した「ホワイトハッカー」と対立か

クラーケンのバグ修正

暗号資産（仮想通貨）取引所クラーケンは19日、入金システムにあったバグを修正したことを発表した。

このバグが顧客資産へ影響を与えることはなかったと説明。バグを発見したのはセキュリティ企業のCertiKとみられ、クラーケンはバグ報奨金制度にもとづいて修正を行ったと述べている。

今回のバグは、入金手続きを完了しなくても顧客が人工的に残高を増やすことができるというもの。クラーケンはCertiKの名前は出さずに発表を行なっており、「サードパーティのセキュリティリサーチ企業が最初にバグを発見した」と説明している。

ハッキング等による不正流出ではなく、バグは修正もされたというが、バグの報告方法について、クラーケンは「セキュリティリサーチ企業」を批判。バグ報奨金制度における以下のルールを守っていなかったと指摘した。

• 脆弱性を証明するのに最低限の不正しか行わない
• 資産は即座に返却する
• 問題をテストした詳細を提供する

クラーケンの最高セキュリティ責任者のNick Percoco氏は、最終的におよそ300万ドル（約4.7億円）相当が引き出されたと説明。そして、これは、顧客資産ではなくクラーケンの資産から引き出されたとしている。

Instead, the ‘security researcher’ disclosed this bug to two other individuals who they work with who fraudulently generated much larger sums. They ultimately withdrew nearly $3 million from their Kraken accounts. This was from Kraken’s treasuries, not other client assets.

— Nick Percoco (@c7five) June 19, 2024

また、同氏は「セキュリティリサーチ企業は、バグの被害想定額を教えるまで資産を返さないと主張してきた」とも明かした。

関連：米クラーケン、ソラナとベース基盤のミームコインの先物を提供

CertiKの主張

今回のバグを発見したのがCertiKであるとされている理由は、CertiK側が20日に「クラーケンの脆弱性を発見した」と公表しているため。クラーケンの重大な脆弱性を発見したとし、放置しておけば何億ドルもの損失につながった可能性があると主張している。

CertiKは今回「バグを修正した後にクラーケンのセキュリティオペレーションチームが、当社の従業員に対し、”つり合わない”額の仮想通貨を”理不尽な”時間で返却するように”脅してきた”」と主張。その際「返金先のアドレスを提供することも”なかった”」と述べている。

そして、ホワイトハッカーを脅すのはやめるようクラーケンに呼びかけた。

なお、一部の報道によると、クラーケンの担当者が「資金を取り戻すために法執行機関に協力してもらっている」と述べたというが、CertiKは「クラーケンがアクセスできるアドレスに資産を送金している」と説明している。

関連：仮想通貨ウォレット「メタマスク」の使い方、送金、セキュリティ対策を徹底解説