크라켄, 보안 리서치팀에 의해 300만달러 갈취당해
수요일(19일), 암호화폐 거래소 크라켄(Kraken)의 닉 퍼코코 최고보안책임자(CSO)는 어느 리서치 팀이 자사 자금 시스템의 버그를 발견하고 해킹하여 300만 달러를 인출했다고 밝혔다.
닉 퍼코코 “해킹 공격에 300만 달러 갈취당해”
에 따르면 지난 9일 한 보안 연구원이 자금 지원 시스템의 결함을 발견한 후 “동료 두 명”에게 이 버그를 알리고 크라켄의 자금에서 수백만 달러를 인출했다.
문제의 보안 연구원은 당초 버그 바운티 보고서에 이런 내용을 포함시키지 않아 회사 내부에서 의심을 사고 있다.
Kraken Security Update:
On June 9 2024, we received a Bug Bounty program alert from a security researcher. No specifics were initially disclosed, but their email claimed to find an “extremely critical” bug that allowed them to artificially inflate their balance on our platform.
— Nick Percoco (@c7five) June 19, 2024
퍼코코는 “우리는 그들의 작업에 대한 보고, 온체인 활동에 사용된 증명 방식, 그리고 그들이 인출한 자금의 반환을 요청했다”며 “이는 모든 버그 바운티 프로그램의 일반적인 관행이다. 이 보안 연구원들은 이를 거절했다”고 말했다.
그는 이어 해커로 의심되는 이들이 크라켄이 “해당 버그가 초래할 수 있었던 피해 금액”을 지불할 때까지 어떠한 자금도 반환하지 않겠다고 말했다고 전했다.
퍼코코는 “이는 화이트햇 해킹이 아니다. 이는 갈취다!”라는 입장을 표명했다.
체이널리시스 “암호화폐 해킹, 해마다 증가”
블록체인 분석업체 체이널리시스(Chainalysis)의 올해 암호화폐 범죄 보고서에 따르면 해커들이 2023년에만 약 17억 달러 규모의 디지털 자산을 갈취했으며 해킹 사건은 2022년 219건에서 231건으로 증가했다.
지난달만 해도 크라켄·리플·코인베이스·제미니·메타·매치그룹 등이 글로벌 사기방지기구(Global Anti-Scam Organization)와 함께 사기방지를 위한 “사기 방지 기술단체(Tech Against Scams)”를 결성했다.
사기 방지 기술단체는 5월 보도 자료를 통해 “이 새로운 연합은 사기 및 기타 보안 위험으로부터 사용자를 보호하기 위해 여러 회사들이 독립적으로 수행한 수년간의 기술투자를 기반으로 할 것입니다.”라고 말했다.
“앞으로 우리는 회사들이 이러한 사기를 방지하고 소비자들에게 스스로를 보호하는 데 필요한 도구와 정보를 제공하기 위한 모범 사례를 파악하고 가이드하기 위한 새로운 업무 과정을 만들 것입니다.”
크라켄은 문제가 된 리서치 팀의 신원 공유를 거부하면서도 이번 사태를 범죄 문제로 취급하고 있으며 법 집행에 협조하고 있다고 발표했다.
퍼코코는 “우리의 버그 바운티 프로그램은 크라켄의 미션에서 여전히 중요한 방패이자 암호화폐 생태계의 전반적인 보안을 강화하기 위한 노력의 핵심”이라며 “앞으로 선의의 행위자들과 협력하기를 기대하며 이번 사태를 이례적인 경우로 생각한다”고 말했다.
함께 읽을 만한 기사
관련 기사 보기
in numbers
