해커로 변신한 보안 회사 CertiK가 크라켄 거래소에서 300만 달러를 훔친 것으로 밝혀졌습니다.

미국 현지 시간으로 6월 19일, 암호화폐 거래소 크라켄과 블록체인 보안 회사 CertiK는 일련의 심각한 보안 취약점을 두고 소셜 미디어에서 공개적으로 대립했습니다.
이 사건은 CertiK가 크라켄에서 발견한 취약성에서 비롯되었습니다: 크라켄의 최고 보안 책임자 닉 퍼코코는 트위터를 통해 버그 바운티 프로그램에서 사람이 계정 잔고를 늘리기 위해 악용할 수 있는 취약점을 발견했다고 주장하는 '매우 심각한' 취약점 보고서를 받았다고 밝혔습니다. CertiK는 이를 크라켄 거래소에 대한 보안 테스트라고 설명했고, 크라켄은 CertiK가 중간에서 이 취약점을 통해 이득을 취했다고 믿었습니다.

무슨 일이 있었나요?

CertiK: 크라켄에 보안 침해를 보고한 후 CertiK 직원들은 보안 운영팀으로부터 협박을 받았습니다.

CertiK의 조사에 따르면 크라켄의 입금 시스템은 다양한 내부 이체 상태를 효과적으로 구분하지 못하며, 악의적인 행위자가 입금 거래를 위조하여 가짜 자금을 인출할 위험이 있습니다. 테스트 기간 동안 수백만 달러의 가짜 자금이 크라켄 계정에 입금되고 100만 달러 이상의 가짜 암호화폐가 크라켄 시스템에서 아무런 경고 없이 유효한 자산으로 인출될 수 있었습니다. CertiK가 크라켄에 이 사실을 알린 후 크라켄은 해당 취약점을 '심각'으로 분류하고 처음에 문제를 수정했습니다. 하지만 이후 크라켄 보안팀이 크라켄 직원을 협박하고 상환 주소도 제공하지 않은 채 불합리한 시간 내에 일치하지 않는 암호화폐를 상환하라고 요구했다고 지적했습니다.

크라켄 최고 보안 책임자: 이전 취약점으로 인해 인출된 자금은 반환되었습니다.

크라켄 거래소의 최고 보안 책임자 닉 퍼코코는 소셜 플랫폼에 이전 취약점으로 인해 인출된 자금이 소액의 수수료 손실을 제외하고 환불된 것을 확인할 수 있다고 업데이트를 올렸습니다.

CertiK: 보유 자금은 모두 반환되었지만 총 금액이 크라켄의 요청과 다릅니다.

CertiK는 X 플랫폼에서 발생한 CertiK-크라켄 화이트햇 사건에 대한 일련의 질문과 답변을 발표했습니다. CertiK는 실제 크라켄 사용자의 자산이 연구 활동에 직접적으로 관여하지 않았다고 밝혔습니다. 이메일과 화상 회의를 통해 크라켄과 소통하는 과정에서 CertiK는 항상 자금이 반환될 것이라고 보장했습니다. 현재 보유 자금은 모두 반환되었지만 총 금액은 크라켄의 요청과 다릅니다. CertiK는 자체 기록을 바탕으로 환불을 진행합니다.
CertiK는 크라켄에 취약점 세부 정보를 공개했고 47분 이내에 취약점이 수정되었습니다. 테스트 후 CertiK는 여러 방법을 통해 크라켄에 즉시 알리고 자세한 보고서를 보냈습니다. CertiK는 크라켄의 포상금 프로그램에 관여하지 않으며 포상금 요청에 대해 언급하지 않았습니다. 문제가 해결되도록 하는 데 초점을 맞추고 있습니다.
또한 CertiK는 전체 타임라인과 입금 주소를 공개했습니다.

크라켄, CertiK 화이트 햇 해커의 수백만 달러 규모의 암호화폐 자산 도난 사건을 '형사 사건'으로 취급;

크라켄의 최고 전략 책임자인 닉 퍼코코는 크라켄이 최근 발생한 약 300만 달러의 손실을 "범죄 사건"으로 보고 있으며, 자금 회수를 위해 법 집행 기관과 협력하고 있다고 말했습니다. 닉 퍼코코에 따르면, 익명의 연구원들은 입금이 완료되기 전에 자신의 계좌에 입금된 자금을 인출하여 크라켄에서 수백만 달러의 암호화폐를 훔쳤다고 합니다.

CertiK는 이전에 OKX와 코인베이스에 대해 동일한 보안 취약점을 테스트했습니다.

크라켄과 서틱 간의 보안 취약점 보고에 대한 분쟁에 대해 온체인 탐정 @0xBoboShanti는 서틱 보안 연구원이 이전에 공개한 주소가 5월 27일에 조사 및 테스트되었으며, 이는 서틱의 사건 발생 타임라인과 일치한다고 주장했습니다. 또한 테스트 주소 자금은 Certik의 토네이도 거래에서 발생했으며, 해당 지갑은 최근 동일한 계약과 상호 작용한 것으로 밝혀져 이 사건이 원래 보안 연구원과 연관된 것으로 밝혀졌습니다. 보안 연구원은 해당 거래에 대한 Certik 보고서에서 크라켄의 입금 주소 0xa172342297f6e6d6e7fe5df752cbde0aa655e61c(MATIC)가 밝혀졌다고 덧붙였습니다. 이더리움 네트워크에서는 동일한 주소가 출금 작업에도 사용됩니다. 구체적인 출금 주소는 다음과 같습니다: 0x3c6a231b1ffe2ac29ad9c7e392c8302955a97bb3, 0xdc6af6b6fd88075d55ff3c4f2984630c0ea776bc and 0xc603d23fcb3c1a7d 1f27861aa5091ffa56d3a599. 이러한 출금 주소는 다량의 자금을 인출한 다음 UDDT를 덤프하고 ChangeNOW를 사용하여 여러 차례 최대 가치 교환을 수행합니다.

베이스에 배포된 이 컨트랙트(0x45...CeA9)는 이 두 거래소가 크라켄과 동일한 취약점을 가지고 있는지 확인하기 위해 OKX와 코인베이스에서도 동일한 테스트를 수행한 것으로 의심됩니다.

CertiK 및 크라켄 사건: 화이트 햇 해커에 대한 적절한 기준은 무엇인가요?

배경 정보를 보면 크라켄의 버그 바운티 프로그램의 보상 금액은 실제로 상당한 수준입니다.

이번 사건과 유사한 최고 수준의 보안 사고에 대한 포상금은 100만~150만 달러로, 크라켄이 주장한 300만 달러와 비슷한 수준입니다. 그 차이는 작지 않습니다.
이 사건에 대한 공개적인 논란도 이어졌습니다. 일부 사람들은 댓글 영역에서 "해커가 돌려줘야 한다고 생각하지 않는다"고 말했고, 다른 사람들은 "100만 달러의 현상금을 받을래요, 300만 달러를 받을래요?", "불법적인 이득을 위해 감옥에 가겠어요?"라고 답했습니다.
논란이 된 이 사건은 화이트햇 해킹 업계의 숨겨진 위험도 드러냈습니다.

취약점 공격으로부터 고객을 보호해야 할 보안 회사가 오히려 고객을 공격한다면 고객의 보안은 물거품이 됩니다. 이는 의심할 여지없이 암호화폐 업계가 주목해야 할 부분입니다. 큰 문제입니다.
화이트햇 해커의 행동은 합법적이고 규정을 준수해야 하며, 법적 및 윤리적 분쟁을 피하기 위해 적절한 기준을 유지해야 합니다.