더보기

크라켄, 거래소 취약점 공격으로 약 300만 달러 손실

2 mins
업데이트 Paul Kim

요약

  • 크라켄은 2주 전에 버그 공격을 받아 약 300만 달러의 손실을 입었습니다.
  • 누구나 플랫폼에 입금을 시작하고 완료하지 않고도 자금을 받을 수 있는 방안이 있습니다.
  • 크라켄은 해당 사건을 형사 사건으로 취급하고 법 집행 기관과 협력할 것을 약속합니다.
  • promo

암호화폐 거래 플랫폼 크라켄은 2주 전에 버그 관련 공격으로 약 300만 달러의 손실이 발생했다고 밝혔습니다. 이 사건은 암호화폐 업계에 만연해 있는 보안 취약성을 여실히 보여줍니다.

버그 공격으로 3백만 달러의 손실을 입은 크라켄

크라켄은 6월 9일 버그 공격으로 인해 약 3백만 달러의 손실을 입었다고 밝혔습니다. 크라켄의 최고 보안 책임자 닉 퍼코코가 공유한 보고서에 따르면, 크라켄 거래소는 버그 바운티 프로그램 경고를 받았습니다.

“2024년 6월 9일, 보안 연구자로부터 버그 바운티 프로그램 경고를 받았습니다. 처음에는 구체적인 내용이 공개되지 않았지만, 이메일에 따르면 우리 플랫폼에서 인위적으로 잔고를 부풀릴 수 있는 “매우 중요한” 버그를 발견했다고 주장했습니다.”라고 퍼코코는 수요일 게시글에서 언급했습니다.

CSO는 추가 조사 결과 악의적인 행위자에게 부당한 권한을 부여하는 고립된 버그가 발견되었다고 언급했습니다. 구체적으로, 이들은 크라켄 거래소에서 입금을 시작하고 입금이 완전히 완료되지 않았음에도 불구하고 계좌에 자금을 수령할 수 있었습니다.

더 읽어보기: 크라켄 리뷰 2024: 보안 및 기능

포렌식 분석 결과 크라켄 플랫폼의 최근 UX 변경에서 취약점이 발견되었습니다. 이 결함으로 인해 악의적인 공격자가 일정 기간 동안 계정에서 자산을 ‘인쇄’할 수 있었습니다. 중요한 것은 고객 자산이 유출되지 않았고 문제가 해결되었다는 점입니다. 그러나 후속 조사 결과, 며칠 사이에 이미 세 개의 계정이 이 버그를 악용한 것으로 밝혀졌습니다.

“위험을 패치한 후 상황을 면밀히 조사한 결과 3개의 계정이 서로 며칠 이내에 이 결함을 악용했다는 사실을 신속하게 발견했습니다. 더 자세히 조사해 보니 한 계정은 보안 연구원을 자처하는 개인에게 KYC를 거쳤다는 사실을 발견했습니다.”라고 퍼코코는 말합니다.

한 보안 연구원이 크라켄의 펀딩 시스템에서 버그를 발견하고 해당 계정에 4달러의 암호화폐를 입금한 것이었습니다. 이 금액은 결함을 입증하고 버그 현상금 보고서를 제출하기에 충분했으며, 크라켄의 프로그램에 따라 상당한 포상금을 받을 수 있었습니다.

대신 이 연구원은 이 버그를 두 명의 동료와 공유했고, 이들은 이 버그를 악용하여 훨씬 더 큰 금액을 부정하게 벌어들였습니다. 이 공모로 인해 고객 자산이 아닌 크라켄의 트레저리에서 약 3백만 달러의 손실이 발생했습니다.

더 읽어보기: 암호화폐 보안의 5대 결함 및 이를 방지하는 방법

이 사건은 암호화폐 거래 플랫폼이 연구원들로부터 자금을 회수하려고 시도한 후 강탈 사건으로 절정에 달했습니다. 크라켄은 온체인 활동을 만드는 데 사용된 개념 증명과 인출된 자금을 반환하기 위한 준비를 포함하여 연구원들의 활동에 대한 전체 계정을 요청했습니다.

“이 보안 연구원들은 이를 거부했습니다. 대신 비즈니스 개발팀과의 통화를 요구했고, 이 버그를 공개하지 않았을 경우 발생할 수 있었던 추정 금액을 제시할 때까지 자금을 반환하는 데 동의하지 않았습니다. 이것은 화이트햇 해킹이 아니라 강탈입니다!” 퍼코코는 분개했습니다.

따라서 크라켄은 이 사건을 형사 사건으로 취급하고 사법 당국과 협력하기로 했습니다. 연구 회사는 아직 공개되지 않았습니다.

최고의 암호화폐 거래소
BYDFi BYDFi 보기
Coinrule Coinrule 보기
Exodus Exodus 보기
Coinbase Coinbase 보기
BingX BingX 보기
최고의 암호화폐 거래소
BYDFi BYDFi 보기
Coinrule Coinrule 보기
Exodus Exodus 보기
Coinbase Coinbase 보기
BingX BingX 보기
최고의 암호화폐 거래소

Trusted

비인크립토 웹사이트에 포함된 정보는 선의와 정보 제공의 목적을 위해 게시됩니다. 웹사이트 내 정보를 이용함에 따라 발생하는 책임은 전적으로 이용자에게 있습니다.
아울러, 일부 콘텐츠는 영어판 비인크립토 기사를 AI 번역한 기사입니다.

lockridge-okoth.png
Lockridge Okoth
록리지 오코스는 비인크립토의 기자로, 코인베이스, 바이낸스, 테더와 같은 업계 유명 기업 취재를 담당하고 있으며, 탈중앙화 금융(DeFi), 탈중앙화 물리적 인프라 네트워크(DePIN), 실물자산(RWA), 게임파이, 암호화폐 규제 등에 대해서도 취재하고 있습니다. 이전에는 인사이드비트코인스, FX스트리트, 코인게이프 등에서 비트코인과 아비트럼, 폴카닷, 폴리곤 등 알트코인을 포함한 디지털 자산의 시장 분석 및 기술 평가를 수행했습니다. 케냐타 대학교에서 분자생물학 학사 학위를 받았으며 버클리 기업가정신 센터에서 공인 블록체인 기초 전문가 자격증을 취득했습니다.
READ FULL BIO
스폰서
스폰서