원본|오데일리플래닛데일리

저자│jk

미국 현지 시간으로 6월 19일, 암호화폐 거래소 크라켄(Kraken)과 블록체인 보안업체 서틱(CertiK)은 일련의 심각한 보안 취약점을 놓고 소셜미디어에서 공개 대결을 벌였다.

이 사건은 CertiK가 Kraken에서 발견한 취약점에서 시작되었습니다. Kraken의 최고 보안 책임자인 Nick Percoco는 트위터를 통해 버그 포상금 프로그램에서 "매우 심각한" 취약점 보고서를 받았다고 밝혔습니다. 인위적으로 계정 잔고를 늘리는 취약점입니다. CertiK는 이를 크라켄 거래소의 보안 테스트 라고 설명했고, 크라켄은 CertiK가 중간에 있는 취약점을 통해 이익을 얻었다고 믿고 있습니다. 양측은 각자의 주장을 내세우며 계속 논쟁을 벌이는 등 대규모 멜론 먹방 현장을 형성했다.

크라켄 사건 공개

다음은 X 플랫폼에서 Kraken의 최고 보안 책임자가 게시한 이벤트 과정입니다.

“2024년 6월 9일, 버그 바운티 프로그램을 통해 보안 연구원으로부터 경고를 받았습니다. 처음에는 구체적인 정보가 없었지만 그들은 우리 플랫폼을 악용할 수 있는 “매우 심각한” 취약점을 발견했다고 주장했습니다. 인위적으로 증가합니다.

우리는 "보안 연구원"이라고 주장하는 사람들로부터 매일 가짜 취약점 보고서를 받습니다. 이는 버그 바운티 프로그램을 운영하는 누구에게나 새로운 것이 아닙니다. 그러나 우리는 이 문제를 매우 심각하게 받아들이고 있으며 문제를 조사하기 위해 신속하게 다기능 팀을 구성했습니다. 우리가 찾은 것은 다음과 같습니다.

몇 분 안에 우리는 격리된 취약점을 발견했습니다. 특정 상황에서는 이 취약점으로 인해 악의적인 공격자가 입금 작업을 시작하고 입금을 완전히 완료하지 않은 채 자신의 계좌로 자금을 받을 수 있습니다.

분명히 말하면 고객의 자산은 결코 위험에 처하지 않습니다. 그러나 악의적인 공격자는 일정 기간 동안 자신의 Kraken 계정에서 자산을 효과적으로 생성할 수 있습니다.

우리는 취약성을 심각으로 평가했으며 전문가 팀이 1시간(정확히 47분) 이내에 문제를 완화했습니다. 몇 시간 내에 문제가 완전히 해결되었으며 다시는 발생하지 않습니다.

우리 팀은 자산이 정산되기 직전에 고객 계좌에서 인출하고 고객이 암호화폐 시장을 실시간으로 거래할 수 있게 하는 최근 사용자 경험(UX) 변화에서 취약점이 발생한다는 사실을 발견했습니다. 이 UX 변경 사항은 이 특정 공격 벡터에 대해 완전히 테스트되지 않았습니다.

위험 요소를 패치한 후 철저한 조사를 실시한 결과 며칠 내에 3개의 계정이 취약점을 악용했다는 사실을 신속하게 발견했습니다. 추가 조사를 통해 우리는 계정 중 하나가 KYC를 통해 보안 연구원이라고 주장하는 개인과 연결되어 있음을 발견했습니다.

이 개인은 우리의 자금 시스템에서 이 취약점을 발견 하고 이를 사용하여 자신의 계좌 잔고를 4달러 늘렸습니다. 이는 취약점의 존재를 증명하고, 버그 바운티 보고서를 우리 팀에 제출하고, 프로그램 조건에 따라 상당한 보상을 받기에 충분합니다.

그러나 "보안 연구원"은 자신과 함께 일하고 있는 다른 두 사람에게 결함을 공개했고, 그들은 이를 악용하여 더 많은 자금을 사기로 만들었습니다. 그들은 결국 크라켄 계좌에서 거의 300만 달러를 인출했습니다. 자금은 다른 고객의 자산이 아닌 크라켄의 금고에서 나옵니다.

초기 버그 바운티 보고서에서는 이러한 거래 정보를 완전히 공개하지 않았기 때문에 우리 플랫폼의 보안 취약점을 성공적으로 발견한 데 대해 보상하기 위해 보안 연구원에게 연락하여 일부 세부 정보를 확인했습니다.

그런 다음 우리는 그들에게 그들의 활동에 대한 자세한 설명을 제공하고, 온체인 활동에 대한 개념 증명을 만들고, 인출한 자금의 반환을 준비하도록 요청했습니다. 이는 모든 버그 현상금 프로그램에서 일반적인 관행입니다. 이 보안 연구원들은 이를 거부했습니다.

대신 그들은 BD 팀(즉, 영업 담당자)에게 전화를 요청했고 우리가 예상되는 손실 금액을 제공할 때까지 자금 반환에 동의하지 않았습니다. 이건 화이트햇해킹이 아니라 갈취입니다!

우리는 Kraken에서 거의 10년 동안 버그 포상금 프로그램을 운영해 왔습니다. 이 프로그램은 사내에서 운영되며 지역사회에서 가장 뛰어난 인재들이 정규 직원으로 구성되어 있습니다. 다른 많은 프로그램과 마찬가지로 우리 프로그램에도 명확한 규칙이 있습니다.

• 취약점을 증명하는 데 필요한 것 이상을 추출하지 마십시오.

• 귀하의 작업을 선보이세요(예: 개념 증명 제공).

• 철회된 모든 항목은 즉시 반환되어야 합니다.

우리는 합법적인 연구자들과 협력하는 데 아무런 문제가 없었으며 항상 대응하고 있습니다.

투명성을 위해 우리는 오늘 업계에 이 취약점을 공개합니다. 우리는 "화이트 해커"에게 그들이 훔친 것을 돌려달라고 요청한 것에 대해 불합리하고 비전문적이라는 비난을 받았습니다. 이것은 믿을 수 없습니다.

보안 연구원으로서 귀하가 참여하는 버그 포상금 프로그램의 간단한 규칙을 따르면 "해커" 라이센스가 활성화됩니다. 이러한 규칙을 무시하고 회사를 베끼는 행위는 귀하의 "해킹" 라이선스를 취소하게 됩니다. 이는 귀하와 귀하의 회사를 범죄자로 만듭니다.

그들의 행동은 인정받을 가치가 없기 때문에 우리는 연구 회사의 이름을 밝히지 않을 것입니다. 우리는 이를 형사 문제로 처리하고 있으며 법 집행 기관과 조율하고 있습니다. 이 문제를 보고해 주셔서 감사합니다. 하지만 그게 전부입니다.

우리의 버그 포상금 프로그램은 Kraken의 사명에서 계속해서 중요한 역할을 하고 있으며 암호화폐 생태계의 전반적인 보안을 강화하려는 우리 노력의 핵심 부분입니다. 우리는 미래의 청렴 행위자들과 협력하기를 기대하며 이 행사를 독립된 행사로 취급합니다. "

CertiK가 응답했습니다.

크라켄은 보안 연구원이 속한 회사의 구체적인 이름을 공개하지 않았지만 CertiK는 몇 시간 후 X 플랫폼에 사건에 대한 답변을 게시했습니다. 다음은 CertiK 공식 X 플랫폼 릴리스의 응답입니다.

“CertiK는 최근 Kraken 거래소에서 수억 달러의 손실을 초래할 수 있는 일련의 심각한 취약점을 발견했습니다.

크라켄의 입금 시스템에서 내부 이체 상태를 구별할 수 없는 문제가 발견된 것을 시작으로 다음 세 가지 문제에 초점을 맞춰 철저한 조사를 진행했습니다.

1. 악의적인 행위자가 크라켄 계정에 입금 거래를 위조할 수 있습니까?

2. 악의적인 행위자가 위조자금을 인출할 수 있나요?

3. 대규모 인출 요청으로 인해 어떤 위험 통제 및 자산 보호가 촉발될 수 있습니까?

테스트 결과에 따르면 크라켄 거래소는 이러한 모든 테스트에 실패했으며 이는 크라켄의 심층 방어 시스템이 여러 면에서 손상되었음을 나타냅니다. 크라켄 계좌에 수백만 달러를 입금할 수 있습니다. 1백만 달러 이상의 위조 암호화폐를 계정에서 인출하여 유효한 암호화폐로 전환할 수 있습니다. 설상가상으로 며칠 간의 테스트 기간 동안 경보가 발생하지 않았습니다. Kraken은 공식적으로 사건을 보고한 후에만 응답하고 테스트 계정을 잠갔습니다.

발견 즉시 우리는 Kraken에 통보했고, 보안팀은 이를 Kraken의 가장 심각한 보안 사고 분류 수준인 "Critical"로 분류했습니다.

처음에 취약점을 성공적으로 식별하고 해결한 후 Kraken의 보안 운영 팀은 개별 CertiK 직원에게 상환 주소도 제공하지 않은 채 불합리한 시간 내에 일치하지 않는 금액의 암호화폐를 상환하라고 위협했습니다.

투명성의 정신과 Web3 커뮤니티에 대한 약속에 따라 우리는 모든 사용자의 보안을 보호하기 위해 이 정보를 공개합니다. 우리는 크라켄이 화이트 해커에 대한 위협을 중단할 것을 촉구합니다.

우리는 함께 위험에 직면하고 Web3의 미래를 보호합니다. "

나중에 CertiK는 전체 일정과 입금 주소를 공개했습니다.

CertiK가 발표한 타임라인. 출처: CertiK 공식 X

동시에 CertiK는 크라켄이 상환 주소를 제공하지 않았고, 필요한 상환 금액이 전혀 일치하지 않았기 때문에 기존 자금을 기록을 기반으로 크라켄이 접근할 수 있는 계좌로 이체했다고 밝혔습니다.

기타 뉴스 및 후속 댓글

배경 관점에서 볼 때 Kraken의 버그 포상금 프로그램 보상은 실제로 상당하며, 이 사건과 유사한 가장 높은 보안 사고 수준에 대한 보상금은 100만 달러에서 150만 달러에 이릅니다. 이는 크라켄이 주장한 300만 달러와는 상당한 격차가 있다. 그래서 댓글란에 “해커가 돌려주면 안 될 것 같다”는 의견도 있었고, “100만 달러를 가져갈 생각이냐”는 반응도 나왔다. 현상금 300만 달러를 받고 감옥에 가나요?

Kraken 버그 현상금 프로그램의 현상금입니다. 출처: 크라켄

온체인 탐정 ZachXBT는 다음과 같이 말했습니다: 이 이야기는 진행될수록 더욱 거칠어집니다.

또 다른 트위터 사용자 @trading_axe는 다른 접근 방식을 취하며 다음과 같이 말했습니다. "내 생각에는 (CertiK)이 망친 것 같습니다... 도둑질이라고 말하지는 않았지만 도둑은 할 수 있는 모든 것을 빼앗고 도망갈 것입니다. 내 생각에는 그들이 망친 것 같습니다." 나쁜 점은 그들이 300만 달러만 가져갔다는 것입니다. 만약 그들이 이 버그를 사용하여 1억 달러 이상을 훔쳤다면, 그것을 다시 돌려주면 그들은 흰 모자처럼 보일 것입니다. 구세주/주도권 보유) 그러나 당신은 300만 달러만 가져갔고 이제는 그것을 돌려주어야 하는데 이는 매우 약한 것 같습니다.”