仮想通貨取引所クラーケンは6月9日、匿名の自称「セキュリティ研究者」からバグ報奨金プログラムの通知を受け取り、実際に重大な欠陥があったことを明らかにした。すでにバグは修復されているが、報奨金プログラムをめぐってクラーケン側は「恐喝」が起きたと主張している。
システムの脆弱性を指摘することで報奨金を得る「ホワイトハッカー」のためのバグ報奨金プログラムだが、クラーケンのチーフセキュリティオフィサー、ニコラス・ペルココ氏によると、このセキュリティ研究者と関連する2つのアカウントがこのバグを悪用し、300万ドル以上のデジタル資産を引き出したという。
ペルココ氏によると、バグ報奨金プログラムでは盗んだ資金を返還するのが一般的だとして、300万ドルの返還を申し出たが、セキュリティ研究者は資金の返還を拒否した。
「代わりに、彼らはビジネス開発チーム(つまり営業担当者)との対話を要求し、バグが引き起こした可能性のある金額を提供するまで、資金を返還しないと主張している。これはホワイトハットハッキングではなく、恐喝だ!」
クラーケンは資金は直接クラーケンの財務から盗まれたものであり、ユーザーの資金が危険にさらされることはなかったと主張している。
クラーケンの広報担当はコインテレグラフに対し、取引所のセキュリティを保証するためにバグ報奨プログラムを続け、盗まれた資金を取り戻すために法執行機関と協力していると語った。
「この経験に失望しており、現在、これらのセキュリティ研究者から資産を取り戻すために法執行機関と協力している。」
これはホワイトハットハッキングではない:クラーケン
ハッキングを行った3つのクラーケンアカウントのうち1つは、セキュリティ研究者を名乗る個人によって以前に本人確認(KYC)を完了していたが、その身元は明かされていない。
バグを発見したセキュリティ研究者は、最初に4ドル相当の仮想通貨の転送でバグを証明し、クラーケンのバグ報奨プログラムから「相当な報酬」を得るのに十分な証拠を残した。
しかし、その研究者はバグを2つの他のアカウントに伝え、不正にクラーケンアカウントから約300万ドルを引き出した。
これらの行為は恐喝に類似しており、倫理的なハッカーの行動とは言えないと、クラーケンのペルココ氏は述べた。
「透明性の観点から、我々は今日このバグを業界に公表する。『ホワイトハットハッカー』が我々から盗んだものを返すよう要求することが不合理であり、非専門的であると非難されている。信じられない。」
2024年の仮想通貨犯罪の増加
仮想通貨のハッキングは、2024年に増加している。
2024年第1四半期には、ハッカーが5億4270万ドル相当のデジタル資産を盗み、2023年の同時期に比べて42%増加した。興味深いことに、スマートコントラクト関連のハッキングではなく、秘密鍵の漏洩が増加の主な原因だ。
スマートコントラクトの脆弱性に起因する被害額は2022年の26億ドルから2023年には1億7900万ドルに92%減少したと、マーケル・サイエンスの「2024年仮想通貨ハックハブレポート」によると報告されている。

ハッキングされたデジタル資産の55%以上が、2023年中に秘密鍵の漏洩によって失われた。
仮想通貨業界では、785件のハッキングや悪用が報告され、過去13年間で約190億ドルが失われた。
【PR】仮想通貨取引所ビットゲット(Bitget) 口座開設キャンペーン! 抽選で10名様にビットコイン1万円贈呈&先着200名に3000円相当ボーナス【6月最新】」