CertiK 대 Kraken: 화이트 해커에게 적합한 기준은 무엇일까?

79 0 0

Original｜오데일리 플래닛데일리

작가: jk

지난 6월 19일 미국 현지 시각, 암호화폐 거래소 크라켄과 블록체인 보안 기업 서틱(CertiK)이 일련의 심각한 보안 취약점을 두고 소셜 미디어에서 공개적으로 대립을 벌였습니다.

이 사건은 CertiK가 Kraken에서 발견한 취약점에서 비롯됐다고 Kraken의 최고 보안 책임자인 Nick Percoco가 Twitter에 공개했습니다. 그는 버그 바운티 프로그램에서 매우 심각한 취약점 보고를 받았는데, 이 보고에서는 계좌 잔액을 인위적으로 늘릴 수 있는 취약점을 발견했다고 주장했다. CertiK는 그것을 다음과 같이 불렀습니다. 보안 테스트 Kraken 거래소의 경우, Kraken은 CertiK가 취약점을 이용해 이익을 챙겼다고 믿었습니다. 양측은 각자의 의견을 가지고 있었고 해결책에 합의하지 못하여 대규모 멜론 먹기 장면이 발생했습니다.

크라켄의 공개

Kraken의 최고 보안 책임자가 X 플랫폼에 대해 공개한 이벤트 프로세스는 다음과 같습니다.

“2024년 6월 9일, 우리는 버그 바운티 프로그램을 통해 보안 연구원으로부터 경고를 받았습니다. 처음에는 구체적인 내용은 없었지만, 그들은 "매우 심각한" 취약점을 발견했다고 주장했습니다. 이는 그들이 우리 플랫폼에서 잔액을 인위적으로 늘릴 수 있도록 허용합니다.

매일 우리는 보안 연구원이라고 주장하는 사람들로부터 가짜 취약성 보고서를 받습니다. 버그 바운티 프로그램을 운영하는 사람이라면 누구나 새로운 일이 아닙니다. 그러나 우리는 이를 매우 심각하게 받아들이고 이 문제를 조사하기 위해 신속하게 교차 기능 팀을 구성했습니다. 다음은 우리의 조사 결과입니다.

몇 분 만에 우리는 특정 상황에서 악의적인 행위자가 입금을 시작하고 입금을 완료하지 않고도 계좌로 자금을 받을 수 있는 격리된 취약점을 발견했습니다.

명확히 말씀드리자면 고객의 자산은 결코 위험에 처하지 않았습니다. 그러나 악의적인 행위자는 일정 기간에 걸쳐 크라켄 계정에서 자산을 효과적으로 생성할 수 있습니다.

우리는 이 취약성을 중대한 것으로 평가했고, 1시간(정확히 47분) 이내에 전문가 팀이 문제를 완화했습니다. 몇 시간 이내에 문제가 완전히 해결되었고 재발하지 않을 것입니다.

저희 팀은 이 취약점이 자산이 정산되기 전에 고객 계정에 즉시 입금되는 최근 사용자 경험(UX) 변경에서 비롯된다는 것을 발견했습니다. 이를 통해 고객은 실시간으로 암호화폐 시장에서 거래할 수 있습니다. 이 UX 변경은 이 특정 공격 벡터에 대해 적절하게 테스트되지 않았습니다.

취약점을 패치한 후, 우리는 철저한 조사를 수행했고 며칠 동안 취약점을 악용한 세 개의 계정을 빠르게 발견했습니다. 추가 조사를 통해, 우리는 계정 중 하나가 KYC를 통해 보안 연구원이라고 주장하는 개인과 연결되어 있음을 발견했습니다.

해당 개인은 우리 자금 조달 시스템에서 이러한 취약점을 발견했습니다. 이를 사용하여 계좌 잔액을 $4만큼 늘렸습니다. 이는 우리 팀에 버그 바운티 보고서를 제출하고 프로그램 약관에 따라 상당한 보상을 받기에 충분한 증거였습니다.

그러나 이 보안 연구원은 이 취약점을 함께 일하는 다른 두 사람에게 공개했고, 두 사람은 이를 악용해 사기성으로 많은 금액을 챙겼습니다. 그들은 궁극적으로 크라켄 계좌에서 거의 $3백만을 인출했습니다. 이 자금은 다른 고객 자산이 아닌 크라켄 금고에서 나왔습니다.

최초의 버그 바운티 보고서에는 이러한 거래에 대한 내용이 모두 공개되지 않았으므로, 저희는 보안 연구원들에게 연락하여 일부 세부 정보를 확인하여 플랫폼에서 보안 취약점을 성공적으로 발견한 데 대한 보상을 제공했습니다.

그런 다음 우리는 그들에게 활동에 대한 자세한 설명을 제공하고, 온체인 활동에 대한 개념 증명을 만들고, 인출한 자금을 반환하도록 요청했습니다. 이는 모든 버그 바운티 프로그램에서 일반적인 관행입니다. 보안 연구원들은 거부했습니다.

대신, 그들은 BD 팀(즉, 영업 담당자)과 통화할 것을 요구했고, 우리가 가상의 가능한 손실 금액을 제공할 때까지는 어떠한 자금도 반환하지 않겠다고 했습니다. 이것은 화이트 해트 해킹이 아니라 강탈입니다!

Kraken에서는 거의 10년 동안 버그 바운티 프로그램을 운영해 왔습니다. 이 프로그램은 사내에서 운영되며 커뮤니티에서 가장 뛰어난 인재들이 풀타임으로 이끌고 있습니다. 다른 많은 프로그램과 마찬가지로 저희 프로그램에는 명확한 규칙이 있습니다.

취약점을 입증하는 데 필요한 것 이상을 추출하지 마세요.
귀하의 작업을 시연해 보세요(즉, 개념 증명을 제공하세요).
인출된 모든 것은 즉시 반환되어야 합니다.

합법적인 연구자들과 협력하는 데 있어서 우리는 아무런 문제를 겪은 적이 없으며, 항상 적극적으로 대응하고 있습니다.

투명성을 위해, 우리는 오늘 이 취약점을 업계에 공개했습니다. 우리는 화이트 해커들에게 우리에게서 훔친 것을 돌려달라고 요청한 것이 비합리적이고 비전문적이라는 비난을 받고 있습니다. 이건 믿을 수 없는 일입니다.

보안 연구자로서, 귀하의 해커 라이선스는 귀하가 참여하는 버그 바운티 프로그램의 간단한 규칙을 따르면 활성화됩니다. 이러한 규칙을 무시하고 회사를 협박하면 해커 라이선스가 취소됩니다. 이는 귀하와 귀하의 회사를 범죄자로 만듭니다.

우리는 연구 회사의 이름을 밝히지 않을 것입니다. 그들의 행동은 인정받을 가치가 없기 때문입니다. 우리는 이를 형사 사건으로 취급하고 법 집행 기관과 협력하고 있습니다. 이 문제를 보고해 주셔서 감사하지만, 그게 전부입니다.

저희 버그 바운티 프로그램은 Kraken의 사명에서 중요한 역할을 계속하고 있으며, 암호화폐 생태계의 전반적인 보안을 강화하려는 저희의 노력의 핵심 부분입니다. 저희는 앞으로 선의의 행위자들과 협력하기를 기대하며, 이를 단독 사건으로 취급할 것입니다.”

CertiK 응답

Kraken은 보안 연구원이 속한 회사의 구체적인 이름을 공개하지 않았지만, 몇 시간 후 CertiK는 X 플랫폼에서 사건에 대한 대응을 발표했습니다. 다음은 CertiK의 공식 X 플랫폼에서 발표한 대응입니다.

"CertiK은 최근 Kraken 거래소에서 수억 달러의 손실을 초래할 수 있는 일련의 심각한 취약점을 발견했습니다.

Kraken의 입금 시스템에서 다양한 내부 이체 상태를 구분하지 못하는 문제가 발견된 것을 시작으로, 우리는 다음 세 가지 문제에 초점을 맞춰 철저한 조사를 수행했습니다.

1. 악의적인 행위자가 Kraken 계좌로 입금 거래를 위조할 수 있습니까?

2. 악의적인 행위자가 위조 자금을 인출할 수 있나요?

3. 대규모 출금 요청으로 인해 어떤 위험 통제 및 자산 보호가 실행될 수 있습니까?

우리의 테스트 결과에 따르면: 크라켄 거래소는 이러한 모든 테스트에서 실패했으며, 이는 크라켄의 심층 방어 시스템이 여러 가지 방법으로 손상되었음을 보여줍니다. 수백만 달러가 크라켄 계좌에 입금될 수 있습니다. $100만 달러 이상의 위조 암호화폐가 계좌에서 인출되어 유효한 암호화폐로 전환될 수 있습니다. 더 나쁜 것은, 며칠 동안의 테스트 기간 동안 경보가 울리지 않았습니다. 크라켄 측에서는 공식적으로 사고를 보고한 후에야 테스트 계정을 잠갔습니다.

발견 후, 우리는 Kraken에 통보했고, Kraken 보안팀은 이를 Kraken의 가장 심각한 보안 사고 분류 수준인 "중요"로 분류했습니다.

Kraken의 보안 운영팀은 취약점을 성공적으로 식별하여 수정한 후, CertiK 직원 개개인에게 불합리한 기간 내에 엄청난 양의 암호화폐를 갚으라고 위협했으며, 갚을 주소도 제공하지 않았습니다.

투명성과 Web3 커뮤니티에 대한 우리의 헌신의 정신으로, 우리는 모든 사용자의 보안을 보호하기 위해 이 정보를 공개합니다. 우리는 Kraken이 화이트 해커에 대한 모든 위협을 중단할 것을 촉구합니다.