暗号通貨業界とサイバーセキュリティ業界の経験を持つ研究者として、私は Kraken-CertiK 事件が興味深いと同時に憂慮すべきことであると感じています。 CertiK は Kraken のシステム内に重大な脆弱性を発見したようですが、これらの脆弱性をテストするために CertiK が採用した方法については激しい議論が巻き起こりました。
セキュリティアナリストとして、私は Kraken の見解を、Certik があまりにも攻撃的な行動をとったと主張していると解釈します。しかし、Certikは、当面の問題の規模を正確に評価するには、広範な撤退行動が不可欠であったと主張している。
先週、クラーケンは重大な欠陥によりセキュリティ専門家が報告残高を偽って増やし、約300万ドルを不当に引き出していたことを明らかにした。
2024 年 6 月 9 日に、バグ報奨金プログラムのセキュリティ研究者から通知を受け取りました。当初、彼らは詳細を明らかにしていませんでしたが、当社のプラットフォーム上のアカウント残高を不当に増額できる「非常に重大な」欠陥を発見したと主張しました。
— Nick Percoco (@c7five) June 19, 2024年
アナリストとして、私は暗号通貨取引所とサイバーセキュリティ企業の相互作用をめぐる出来事が非常に異常であると感じました。この異常な状況により、両者の間で激しい口論が勃発した。
Kraken の最高セキュリティ責任者である Nick Percoco 氏は、悪意のあるユーザーが不正に資金を偽造してアカウントに入金できる脆弱性の発見を明らかにすることから始めました。
研究者として、私は初期症状に対処するのに 47 分を要し、その後完全に解決するまでに数時間を要したインシデントを経験しました。このプロセスは、私の仕事において典型的かつ標準的なもののように思えました。
パーココ氏は、セキュリティ研究者が同僚2人にこの問題について知らせ、彼らが数百万ドル相当の会社資金を流用できるようにしたと付け加えた。
クラーケンはエクスプロイトがどのように実行されたかについて情報を要求し、資金を完全に回復することを目指していたが、その努力は取引所によって拒否されたと主張した。
「彼らは、お金を返金する代わりに、ビジネス開発チームと話し合うよう主張し、このバグが公開されないまま放置された場合に生じる可能性のある損害の推定値を示すまで、そうすることに同意しませんでした。これは倫理的ではありません」ハッキング、それは恐喝です。」
ニック・パーココ
Percoco は、研究者らが過剰な情報を抽出することでバグ報奨金プログラムの意図した範囲を超え、実際に動作するデモンストレーションを怠り、報奨金の返還を遅らせたと主張した。
私はアナリストとして、当面の状況について熟考しました。かつては倫理的だったハッカーが道を外れ、現在はクラーケンに対する悪意のある活動に従事しているという可能性はあるでしょうか?それとも、誰かが取引所の運営を妨害すると脅して、取引所から金を巻き上げようとしたのでしょうか?あるいは、これは完全に刑事問題だった可能性もあります。動機に関係なく、より多くの情報を収集し、Kraken とそのユーザーに対する潜在的な影響を評価することが重要でした。
CertiK は前進
物語は予想外の展開を迎える。あなたは、この計画が寝室に隠れていた賢い十代の少年によって首謀されたと思ったかもしれません。実際には、Web3 監査コミュニティの著名な人物である CertiK によって実行されました。
Percoco が X について投稿してから 3 時間後、同社は何が起こったのかについての説明を発表した。
最近、CertiK は、KrakenFX 取引所にいくつかの重大な脆弱性を発見しました。これが悪用された場合、総額数億ドルの経済的損失が発生する可能性があります。この問題は当初、KrakenFX の入金システムで発見され、さまざまな内部取引を効果的に区別できない可能性がありました。
— CertiK (@CertiK) June 19, 2024
数日間連続して、Kraken の内部テストでは問題が発見されず、その結果、セキュリティ チームは脆弱性について知らされて初めて行動を起こすことになりました。
「特定された脆弱性への対処と解決が最初に成功したことを受けて、伝えられるところによると、Kraken のセキュリティ チームは特定の CertiK 従業員に対し、不当に短い期限内に返済先住所を開示することなく、一貫性のない量の暗号通貨を返金するよう要求しました。」
CertiK
CertiKは続けて、クラーケンに対し「ホワイトハッカーに対するいかなる脅威も停止する」よう要請した。
翌日、同社は研究に関する質問に答えるスレッドを立てた。
1.最近の CertiK-Kraken 調査では、本物のユーザーの資金が影響を受けましたか?
— CertiK (@CertiK) 2024 年 6 月 20 日
最近の事件で、Kraken の顧客は経済的損失を被っていないことを明確にしたいと思います。 CertiK 側はコミットメントを維持し、資金の返還を保証しました。唯一の争点は、取引所が負う正確な金額だった。
この欠陥をこれほど大規模に悪用することにした理由について、同社は次のように付け加えた。
「私たちの目標は、クラーケンの保護措置とリスク管理を最大限に推進することです。数日間にわたり、300 万ドル近くの仮想通貨取引が行われましたが、まだシステムからの応答を引き出すことができず、どこでそれが行われるのかは不明のままです。嘘を制限する。」
CertiK
私はアナリストとして、CertiK と Kraken の間の状況を詳しく調べてきました。 CertiK は、不正行為者が悪意のある活動を野放しに続けた場合に被る可能性のある潜在的な損失について、Kraken に説明を求めていたようです。
このサイバーセキュリティ会社は、バグ報奨金プログラムは重要な議題ではなく、テスト活動に関連するすべての取引は一般に公開されていると主張しました。
全能の舌戦
X に関しては、誰が正しくて誰が間違っているかについてかなりの意見の相違がありました。
この文をより明確かつ会話的に表現するには、次のようになります。「重要な問題は、信頼が最も重要な立場でのテスト中に、なぜこのような多額の資金が使用されたのかを理解することです。事前に弁護士に相談することが賢明でしょう。」これ以上投稿を続ける」
— Seeb $LSS BULL (@crypto_seeb) 2024 年 6 月 19 日
破産ハッキングによる甚大な影響に比べれば、300 万ドルは取るに足らないものです。 Kraken の二重 L の脆弱性が匿名ユーザーによって静かに対処されるのではなく、公になったという事実は、状況を大幅にエスカレートさせました。
— everhusk (@everhusk) 2024 年 6 月 19 日
アナリストとして、私は CertiK の正当性を次のように言い換えることができます。Kraken の内部フラグの有効性を確保するために、私は徹底的な調査プロセスの一環として大量の出金を開始する必要がありました。
仮想通貨業界における最近の企業間の意見の相違は、外部的には解決されたように見えますが、根底にある緊張と摩擦を明らかにしています。この緊張は企業間だけでなく、企業とセキュリティの確保に努めるサイバーセキュリティ専門家との間にも存在します。
ホワイトハット ハッキングの倫理的境界を調査する研究者として、私はこの行為を管理するルールに関してより統一されたコンセンサスが必要であると考えています。特定のシナリオでは、潜在的な将来の大惨事から守るためにホワイトハットが大規模なエクスプロイトを採用することは正当化されるのだろうか、と私は自問します。
Ronin Network が最大規模の暗号通貨強盗の 1 つを阻止し、6 億 2,500 万ドルの盗難を阻止したという仮説のシナリオでは、必要に応じて数百万ドルの一時的な損失を正当化できるかもしれません。
どのような視点をとったとしても、この出来事は、重要な取引所に未発見の欠陥が潜んでいる可能性があり、資産保管のためにこれらの取引場に依存している一般投資家の貯蓄を危険にさらす可能性があるという不快な警鐘となる。
- STRK 予想・見通し・の予想. STRK 暗号通貨
- BLAST 予想・見通し・の予想. BLAST 暗号通貨
- BTC JPY 予想・見通し・の予想. BTC 暗号通貨
- XAI 予想・見通し・の予想. XAI 暗号通貨
- USD CHF 予想・見通し・の予想
- KRL/USD
- ロシアで「最も美しいバイカー」が事故で死亡(写真)
- JPY KRW 予想・見通し・の予想
- EUR USD 予想・見通し・の予想
- LUNC 予想・見通し・の予想. LUNC 暗号通貨
2024-06-26 13:46