아이콘_설치_ios_웹 아이콘_설치_ios_웹 아이콘_안드로이드_웹_설치

CertiK 대 Kraken: 화이트 해커에게 적합한 기준은 무엇일까?

분석6개월 전发布 6086cf...
83 0

Original|오데일리 플래닛데일리

작가: jk

지난 6월 19일 미국 현지 시각, 암호화폐 거래소 크라켄과 블록체인 보안 기업 서틱(CertiK)이 일련의 심각한 보안 취약점을 두고 소셜 미디어에서 공개적으로 대립을 벌였습니다.

이 사건은 CertiK가 Kraken에서 발견한 취약점에서 비롯됐다고 Kraken의 최고 보안 책임자인 Nick Percoco가 Twitter에 공개했습니다. 그는 버그 바운티 프로그램에서 매우 심각한 취약점 보고를 받았는데, 이 보고에서는 계좌 잔액을 인위적으로 늘릴 수 있는 취약점을 발견했다고 주장했다. CertiK는 그것을 다음과 같이 불렀습니다. 보안 테스트 Kraken 거래소의 경우, Kraken은 CertiK가 취약점을 이용해 이익을 챙겼다고 믿었습니다. 양측은 각자의 의견을 가지고 있었고 해결책에 합의하지 못하여 대규모 멜론 먹기 장면이 발생했습니다.

크라켄의 공개

Kraken의 최고 보안 책임자가 X 플랫폼에 대해 공개한 이벤트 프로세스는 다음과 같습니다.

“2024년 6월 9일, 우리는 버그 바운티 프로그램을 통해 보안 연구원으로부터 경고를 받았습니다. 처음에는 구체적인 내용은 없었지만, 그들은 "매우 심각한" 취약점을 발견했다고 주장했습니다. 이는 그들이 우리 플랫폼에서 잔액을 인위적으로 늘릴 수 있도록 허용합니다.

매일 우리는 보안 연구원이라고 주장하는 사람들로부터 가짜 취약성 보고서를 받습니다. 버그 바운티 프로그램을 운영하는 사람이라면 누구나 새로운 일이 아닙니다. 그러나 우리는 이를 매우 심각하게 받아들이고 이 문제를 조사하기 위해 신속하게 교차 기능 팀을 구성했습니다. 다음은 우리의 조사 결과입니다.

몇 분 만에 우리는 특정 상황에서 악의적인 행위자가 입금을 시작하고 입금을 완료하지 않고도 계좌로 자금을 받을 수 있는 격리된 취약점을 발견했습니다.

명확히 말씀드리자면 고객의 자산은 결코 위험에 처하지 않았습니다. 그러나 악의적인 행위자는 일정 기간에 걸쳐 크라켄 계정에서 자산을 효과적으로 생성할 수 있습니다.

우리는 이 취약성을 중대한 것으로 평가했고, 1시간(정확히 47분) 이내에 전문가 팀이 문제를 완화했습니다. 몇 시간 이내에 문제가 완전히 해결되었고 재발하지 않을 것입니다.

저희 팀은 이 취약점이 자산이 정산되기 전에 고객 계정에 즉시 입금되는 최근 사용자 경험(UX) 변경에서 비롯된다는 것을 발견했습니다. 이를 통해 고객은 실시간으로 암호화폐 시장에서 거래할 수 있습니다. 이 UX 변경은 이 특정 공격 벡터에 대해 적절하게 테스트되지 않았습니다.

취약점을 패치한 후, 우리는 철저한 조사를 수행했고 며칠 동안 취약점을 악용한 세 개의 계정을 빠르게 발견했습니다. 추가 조사를 통해, 우리는 계정 중 하나가 KYC를 통해 보안 연구원이라고 주장하는 개인과 연결되어 있음을 발견했습니다.

해당 개인은 우리 자금 조달 시스템에서 이러한 취약점을 발견했습니다. 이를 사용하여 계좌 잔액을 $4만큼 늘렸습니다. 이는 우리 팀에 버그 바운티 보고서를 제출하고 프로그램 약관에 따라 상당한 보상을 받기에 충분한 증거였습니다.

그러나 이 보안 연구원은 이 취약점을 함께 일하는 다른 두 사람에게 공개했고, 두 사람은 이를 악용해 사기성으로 많은 금액을 챙겼습니다. 그들은 궁극적으로 크라켄 계좌에서 거의 $3백만을 인출했습니다. 이 자금은 다른 고객 자산이 아닌 크라켄 금고에서 나왔습니다.

최초의 버그 바운티 보고서에는 이러한 거래에 대한 내용이 모두 공개되지 않았으므로, 저희는 보안 연구원들에게 연락하여 일부 세부 정보를 확인하여 플랫폼에서 보안 취약점을 성공적으로 발견한 데 대한 보상을 제공했습니다.

그런 다음 우리는 그들에게 활동에 대한 자세한 설명을 제공하고, 온체인 활동에 대한 개념 증명을 만들고, 인출한 자금을 반환하도록 요청했습니다. 이는 모든 버그 바운티 프로그램에서 일반적인 관행입니다. 보안 연구원들은 거부했습니다.

대신, 그들은 BD 팀(즉, 영업 담당자)과 통화할 것을 요구했고, 우리가 가상의 가능한 손실 금액을 제공할 때까지는 어떠한 자금도 반환하지 않겠다고 했습니다. 이것은 화이트 해트 해킹이 아니라 강탈입니다!

Kraken에서는 거의 10년 동안 버그 바운티 프로그램을 운영해 왔습니다. 이 프로그램은 사내에서 운영되며 커뮤니티에서 가장 뛰어난 인재들이 풀타임으로 이끌고 있습니다. 다른 많은 프로그램과 마찬가지로 저희 프로그램에는 명확한 규칙이 있습니다.

  • 취약점을 입증하는 데 필요한 것 이상을 추출하지 마세요.

  • 귀하의 작업을 시연해 보세요(즉, 개념 증명을 제공하세요).

  • 인출된 모든 것은 즉시 반환되어야 합니다.

합법적인 연구자들과 협력하는 데 있어서 우리는 아무런 문제를 겪은 적이 없으며, 항상 적극적으로 대응하고 있습니다.

투명성을 위해, 우리는 오늘 이 취약점을 업계에 공개했습니다. 우리는 화이트 해커들에게 우리에게서 훔친 것을 돌려달라고 요청한 것이 비합리적이고 비전문적이라는 비난을 받고 있습니다. 이건 믿을 수 없는 일입니다.

보안 연구자로서, 귀하의 해커 라이선스는 귀하가 참여하는 버그 바운티 프로그램의 간단한 규칙을 따르면 활성화됩니다. 이러한 규칙을 무시하고 회사를 협박하면 해커 라이선스가 취소됩니다. 이는 귀하와 귀하의 회사를 범죄자로 만듭니다.

우리는 연구 회사의 이름을 밝히지 않을 것입니다. 그들의 행동은 인정받을 가치가 없기 때문입니다. 우리는 이를 형사 사건으로 취급하고 법 집행 기관과 협력하고 있습니다. 이 문제를 보고해 주셔서 감사하지만, 그게 전부입니다.

저희 버그 바운티 프로그램은 Kraken의 사명에서 중요한 역할을 계속하고 있으며, 암호화폐 생태계의 전반적인 보안을 강화하려는 저희의 노력의 핵심 부분입니다. 저희는 앞으로 선의의 행위자들과 협력하기를 기대하며, 이를 단독 사건으로 취급할 것입니다.”

CertiK 응답

Kraken은 보안 연구원이 속한 회사의 구체적인 이름을 공개하지 않았지만, 몇 시간 후 CertiK는 X 플랫폼에서 사건에 대한 대응을 발표했습니다. 다음은 CertiK의 공식 X 플랫폼에서 발표한 대응입니다.

"CertiK은 최근 Kraken 거래소에서 수억 달러의 손실을 초래할 수 있는 일련의 심각한 취약점을 발견했습니다.

Kraken의 입금 시스템에서 다양한 내부 이체 상태를 구분하지 못하는 문제가 발견된 것을 시작으로, 우리는 다음 세 가지 문제에 초점을 맞춰 철저한 조사를 수행했습니다.

1. 악의적인 행위자가 Kraken 계좌로 입금 거래를 위조할 수 있습니까?

2. 악의적인 행위자가 위조 자금을 인출할 수 있나요?

3. 대규모 출금 요청으로 인해 어떤 위험 통제 및 자산 보호가 실행될 수 있습니까?

우리의 테스트 결과에 따르면: 크라켄 거래소는 이러한 모든 테스트에서 실패했으며, 이는 크라켄의 심층 방어 시스템이 여러 가지 방법으로 손상되었음을 보여줍니다. 수백만 달러가 크라켄 계좌에 입금될 수 있습니다. $100만 달러 이상의 위조 암호화폐가 계좌에서 인출되어 유효한 암호화폐로 전환될 수 있습니다. 더 나쁜 것은, 며칠 동안의 테스트 기간 동안 경보가 울리지 않았습니다. 크라켄 측에서는 공식적으로 사고를 보고한 후에야 테스트 계정을 잠갔습니다.

발견 후, 우리는 Kraken에 통보했고, Kraken 보안팀은 이를 Kraken의 가장 심각한 보안 사고 분류 수준인 "중요"로 분류했습니다.

Kraken의 보안 운영팀은 취약점을 성공적으로 식별하여 수정한 후, CertiK 직원 개개인에게 불합리한 기간 내에 엄청난 양의 암호화폐를 갚으라고 위협했으며, 갚을 주소도 제공하지 않았습니다.

투명성과 Web3 커뮤니티에 대한 우리의 헌신의 정신으로, 우리는 모든 사용자의 보안을 보호하기 위해 이 정보를 공개합니다. 우리는 Kraken이 화이트 해커에 대한 모든 위협을 중단할 것을 촉구합니다.

우리는 함께 위험에 맞서고 Web3의 미래를 보호합니다.”

이후 CertiK는 전체 타임라인과 입금 주소를 공개했습니다.

CertiK 대 Kraken: 화이트 해커에게 적합한 기준은 무엇일까?

CertiK에서 공개한 타임라인. 출처: CertiK 공식 X

동시에 CertiK은 Kraken이 상환 주소를 제공하지 않았고, 요청한 상환 금액이 전혀 일치하지 않았기 때문에 기록에 따라 Kraken이 접근할 수 있는 계좌로 기존 자금을 이체했다고 밝혔습니다.

기타 뉴스 및 후속 댓글

배경 정보에 따르면, 크라켄 버그 바운티 프로그램의 보상 금액은 실제로 상당합니다. 가장 높은 보안 사고 수준의 현상금은 100만 달러에서 150만 달러 사이입니다. 이것은 크라켄이 주장한 300만 달러와는 상당히 다릅니다. 따라서 일부 사람들은 댓글란에서 해커가 갚지 말아야 한다고 생각하지만, 다른 사람들은 100만 달러의 현상금을 받거나 300만 달러의 불법적 이익을 가지고 감옥에 가는 것이 낫겠느냐고 답했습니다.

CertiK 대 Kraken: 화이트 해커에게 적합한 기준은 무엇일까?

Kraken 버그 바운티 프로그램 보상. 출처: Kraken

체인 디텍티브 ZachXBT는 이렇게 말했습니다: 스토리는 계속될수록 더욱 흥미진진해집니다.

다른 트위터 사용자 @trading_axe는 다른 접근 방식을 취하며, "저는 (CertiK)가 망쳤다고 생각합니다... 그들이 훔쳤다고 말하는 것이 아니라, 도둑은 그들이 할 수 있는 모든 것을 훔쳐 달아날 것입니다. 저는 그들이 $3백만만 가져간 것으로 망쳤다고 생각합니다. 만약 그들이 이 버그를 사용하여 $100백만 이상을 훔쳤다면, 그것을 돌려주면 그들이 백모자처럼 보였을 것입니다(그들이 구세주/주도권을 가진 것처럼 보이게 한다는 것을 암시). 하지만 당신은 $3백만만 가져갔고 이제 그것을 돌려줘야 하므로, 당신은 약해 보입니다."라고 말했습니다.

이 기사는 인터넷에서 발췌한 것입니다: CertiK 대 Kraken: 화이트 해커에게 적합한 기준은 무엇인가?

관련 항목: 엣지에서 태어나다: 분산형 컴퓨팅 파워 네트워크는 어떻게 암호화와 AI에 힘을 실어주는가?

영어: Original author: Jane Doe, Chen Li Original source: Youbi Capital 1 AI와 Crypto의 교차점 5월 23일, 칩 대기업 Nvidia가 2025 회계연도 1분기 재무 보고서를 발표했습니다. 재무 보고서에 따르면 Nvidia의 1분기 매출은 1조 1,000억 달러였습니다. 이 중 데이터 센터 매출은 작년 대비 4,271조 9,000억 달러 증가하여 무려 1조 1,000억 달러에 달했습니다. 미국 주식 시장을 스스로 구할 수 있는 Nvidia의 재무 성과 뒤에는 AI 트랙에서 경쟁하기 위해 글로벌 기술 기업들 사이에서 폭발적으로 증가한 컴퓨팅 파워에 대한 수요가 있습니다. 최고 기술 기업들이 AI 트랙 레이아웃에서 야심 차게 나설수록 컴퓨팅 파워에 대한 수요가 기하급수적으로 증가했습니다. TrendForces의 예측에 따르면 2024년에 수요가…

© 版权声명

상关文章