クラーケン、300万ドルの盗難につながるセキュリティ上の脆弱性を明らかに
仮想通貨取引所クラーケン(Kraken)は、ある研究チームが重大なセキュリティバグを発見し、悪用した結果、300万ドル(約4.7億円)相当のデジタル資産を掌握したことを明らかにした。
セキュリティ研究者と名乗る匿名人物が、2024年6月9日(日曜日)、同取引所にバグを報告。最高セキュリティ責任者であるニック・パーココ(Nick Percoco)氏は、この研究者に関連する2つのアカウントがバグを利用し、300万ドル以上のデジタル資産を引き出したと述べた。不正引き出しを受けてこの研究者は、盗まれた資金に対する報奨金を要求しており、パーココ氏は6月19日のXへの投稿で、この要求を恐喝と呼び、次のように述べている。
彼らはビジネス開発チーム(つまり営業担当者)との電話を要求し、このバグが公表されなかった場合に引き起こし得たと推測される金額を提示するまで、資金を返却することに同意していません。これはホワイトハットハッキングではなく、恐喝です。
ユーザー資金は危険にさらされていない
クラーケンは、盗まれた仮想通貨は取引所の金庫から直接持ち出されたもので、ユーザーの資金が危険にさらされることはなかったと明らかにした。
To be clear, no client’s assets were ever at risk. However, a malicious attacker could effectively print assets in their Kraken account for a period of time.
— Nick Percoco (@c7five) June 19, 2024
誤解のないように言うと、顧客の資産が危険にさらされたことはありません。ただし、悪意のある攻撃者は、一定期間、Kraken アカウントの資産を事実上印刷する可能性があります。
この悪用に関与した3つのアカウントのうち1つは、以前にKYC(顧客本人確認)認証を完了しており、セキュリティ研究者であることを明らかにしていたが、実際の身元はまだ公表されていない。当初、この個人は4ドル(約600円)の仮想通貨送金でバグを証明し、報奨金プログラムから報奨金を請求するのに十分だったが、その後、この個人はバグを他の2つのアカウントと共有し、同取引所から300万ドル近くを送金したとされている。パーココ氏は、これらの行為は倫理的なハッキングではなく、恐喝であると批判しており、次のようにコメントしている。
透明性という観点から、われわれは今日このバグを業界に公表します。私たちは、ホワイトハッカーが私たちから盗んだものを返すよう要求したことで、理不尽でプロフェッショナルではないと非難されています。
このニュースは、クラーケンがIPO(新規株式公開)に向けて1億ドル(約158億円)以上の資金調達を検討していることを示唆する最近の報道を受けてのものであり、6月6日にブルームバーグによると、この資金調達ラウンドは2025年までに行われる見込みだという。
クラーケンはSECによる訴訟にも直面
一方で、クラーケンは、2023年11月にSEC(米国証券取引委員会)が起こした民事訴訟にも直面しており、SECによる訴訟は2023年11月に始まり、取引所がブローカー、クリアリングハウス、または取引所として適切な登録なしに運営されていると非難している。
この法的措置は、ステーキング・サービスに関する年初の和解に続くもので、同様の登録問題が提起されたとのこと。クラーケンは最近の裁判所提出書類で、SECの訴状に記載されている仮想通貨は証券ではなく商品に分類されるべきであると主張し、SECの主張に反論。この分類により、SECの管轄下にある特定の規制要件が免除されることになり、クラーケンの抗弁は、特定の取引が投資契約として適格かどうか、米国法上の証券に該当するかどうかを判断するために使用されるHoweyテストの適用にかかっている。
