CertiK “대결” Kraken: 화이트 해커의 기준, 도대체 어떻게 해야 적절할까?
저자: jk, Odaily星球日报
미국 현지 시간 6월 19일, 암호화폐 거래소 Kraken과 블록체인 보안 회사 CertiK는 소셜 미디어에서 일련의 심각한 보안 취약점 문제에 대해 공개적으로 대립하게 되었다.
사건은 Kraken에서 CertiK가 발견한 취약점에서 시작되었다: Kraken의 최고 보안 책임자 Nick Percoco는 트위터에서 "극히 심각한" 취약점 보고서를 수령했으며, 이 보고서는 계좌 잔액을 인위적으로 증가시킬 수 있는 취약점을 발견했다고 주장했다. CertiK는 이를 Kraken 거래소에 대한 보안 테스트라고 주장했지만, Kraken은 CertiK가 중간에서 취약점을 이용해 이익을 얻었다고 생각하고 있다. 양측은 각자의 주장을 고수하며 논쟁이 계속되고 있다.
Kraken의 사건 공개
다음은 Kraken의 최고 보안 책임자가 X 플랫폼에 게시한 사건 경과이다:
"2024년 6월 9일, 우리는 한 보안 연구원이 취약점 보상 프로그램을 통해 보낸 경고를 받았다. 처음에는 구체적인 정보가 없었지만, 그들은 '극히 심각한' 취약점을 발견했다고 주장했으며, 우리 플랫폼에서 인위적으로 잔액을 증가시킬 수 있다.
우리는 매일 '보안 연구원'이라고 자칭하는 사람들이 보내는 허위 취약점 보고서를 받는다. 이는 취약점 보상 프로그램을 운영하는 사람들에게는 새로운 일이 아니다. 그러나 우리는 이 문제를 매우 심각하게 받아들이고, 신속하게 이 문제를 조사하기 위해 다기능 팀을 구성했다. 다음은 우리의 발견이다.
몇 분 안에 우리는 고립된 취약점을 발견했다. 특정 상황에서 이 취약점은 악의적인 공격자가 예치가 완료되지 않은 상태에서 예치 작업을 시작하고 자신의 계좌에 자금을 수령할 수 있게 했다.
명확히 할 필요가 있는 것은, 고객의 자산은 결코 위험에 처하지 않았다. 그러나 악의적인 공격자는 일정 기간 동안 자신의 Kraken 계좌에서 자산을 효과적으로 생성할 수 있었다.
우리는 이 취약점을 '치명적'(Critical)로 평가했으며, 한 시간 이내(정확히는 47분) 우리 전문가 팀이 이 문제를 완화했다. 몇 시간 내에 이 문제는 완전히 수정되었으며, 다시는 발생하지 않을 것이다.
우리 팀은 이 취약점이 최근의 사용자 경험(UX) 변화에서 비롯된 것임을 발견했다. 이 변화는 고객 자산이 정산되기 전에 즉시 고객 계좌에 기입되며------고객이 암호화폐 시장에서 실시간으로 거래할 수 있도록 허용한다. 이 UX 변화는 특정 공격 벡터에 대해 충분한 테스트를 거치지 않았다.
위험을 수정한 후, 우리는 철저한 조사를 실시했으며, 며칠 내에 이 취약점을 이용한 세 개의 계좌를 신속하게 발견했다. 심층 조사 후, 우리는 그 중 하나의 계좌가 '보안 연구원'이라고 자칭하는 개인과 KYC를 통해 연결되어 있음을 알게 되었다.
이 개인은 우리의 자금 시스템에서 이 취약점을 발견했으며, 이를 이용해 자신의 계좌 잔액을 4달러 증가시켰다. 이는 취약점의 존재를 증명하기에 충분했으며, 우리 팀에 취약점 보상 보고서를 제출하고 우리의 프로그램 조항에 따라 상당한 보상을 받았다.
그러나 이 '보안 연구원'은 이 취약점을 자신과 협력하는 다른 두 사람에게 누설했으며, 그들은 이 취약점을 이용해 더 큰 금액의 자금을 사기적으로 생성했다. 그들은 결국 자신의 Kraken 계좌에서 거의 300만 달러를 인출했다. 이 자금은 Kraken의 금고에서 나온 것이지 다른 고객의 자산이 아니다.
초기 취약점 보상 보고서는 이러한 거래 정보를 완전히 공개하지 않았기 때문에, 우리는 보안 연구원에게 연락하여 몇 가지 세부 사항을 확인하여 그들이 우리 플랫폼에서 발견한 보안 취약점에 대해 보상을 제공하기로 했다.
그 후, 우리는 그들에게 활동에 대한 자세한 설명을 제공하고, 온체인 활동의 개념 증명을 생성하며, 그들이 인출한 자금을 반환하도록 요청했다. 이는 모든 취약점 보상 프로그램의 일반적인 관행이다. 그러나 이 보안 연구원들은 이를 거부했다.
반대로, 그들은 자신의 BD 팀(즉, 판매 대표)과 통화할 것을 요구했으며, 우리가 가상의 손실 금액을 제시하기 전에는 어떤 자금도 반환하지 않겠다고 했다. 이는 화이트 해커의 행동이 아니라, 협박이다!
우리는 Kraken에서 취약점 보상 프로그램을 거의 10년 동안 운영해왔다. 이 프로그램은 내부에서 운영되며, 커뮤니티에서 가장 똑똑한 인재들이 전담하고 있다. 우리의 프로그램은 많은 다른 프로그램과 마찬가지로 명확한 규칙이 있다:
취약점을 증명하는 데 필요한 범위를 초과하여 인출하지 말 것.
작업을 보여줄 것(즉, 개념 증명을 제공할 것).
인출한 모든 것은 즉시 반환해야 한다.
우리는 합법적인 연구원과의 협력에서 어떤 문제도 겪은 적이 없으며, 항상 적극적으로 응답해왔다.
투명성을 위해, 우리는 오늘 이 취약점을 업계에 공개했다. 우리는 '화이트 해커'가 우리에게서 훔친 것을 반환하라는 요구가 불합리하고 비전문적이라는 비난을 받았다. 이는 믿기 어렵다.
보안 연구원으로서 귀하의 '해커' 라이센스는 귀하가 참여하는 취약점 보상 프로그램의 간단한 규칙을 따름으로써 활성화된다. 이러한 규칙을 무시하고 회사를 협박하는 것은 귀하의 '해커' 라이센스를 취소할 것이다. 이는 귀하와 귀하의 회사를 범죄자로 만들 것이다.
우리는 이 연구 회사의 이름을 공개하지 않을 것이다. 그들의 행동은 인정받을 가치가 없다. 우리는 이를 형사 사건으로 간주하며, 법 집행 기관과 협력하여 처리할 것이다. 우리는 이 문제를 보고해 준 것에 감사하지만, 그 이상은 없다.
우리의 취약점 보상 프로그램은 Kraken의 사명에서 중요한 역할을 계속하며, 암호화 생태계의 전반적인 보안을 강화하는 노력의 핵심 부분이다. 우리는 미래의 성실한 행동자들과 협력하기를 기대하며, 이를 독립적인 사건으로 간주한다."
CertiK의 응답
Kraken이 보안 연구원이 소속된 회사의 구체적인 이름을 발표하지 않은 지 몇 시간 후, CertiK는 X 플랫폼에 이 사건에 대한 응답을 발표했다. 다음은 CertiK 공식 X 플랫폼에 게시된 응답이다:
"CertiK는 최근 Kraken 거래소에서 수억 달러의 손실을 초래할 수 있는 일련의 심각한 취약점을 발견했다.
Kraken의 예치 시스템에서 문제가 발견되었으며, 이 시스템은 서로 다른 내부 이체 상태를 구분할 수 없을 수 있다. 우리는 철저한 조사를 실시했으며, 다음 세 가지 문제에 중점을 두었다:
악의적인 행위자가 Kraken 계좌로의 예치 거래를 위조할 수 있는가?
악의적인 행위자가 위조된 자금을 인출할 수 있는가?
대규모 인출 요청이 어떤 위험 통제 및 자산 보호를 촉발할 수 있는가?
우리의 테스트 결과에 따르면: Kraken 거래소는 이러한 모든 테스트를 통과하지 못했으며, 이는 Kraken의 심층 방어 시스템이 여러 측면에서 손상되었음을 나타낸다. 수 백만 달러가 어떤 Kraken 계좌에도 예치될 수 있다. 100만 달러 이상의 위조 암호화폐가 계좌에서 인출되어 유효한 암호화폐로 전환될 수 있다. 더 나쁜 것은, 여러 날의 테스트 기간 동안 어떤 경고도 발생하지 않았다. Kraken은 우리가 사건을 공식적으로 보고한 후에야 응답하고 테스트 계좌를 잠갔다.
발견 후, 우리는 Kraken에 이를 통보했으며, 그들의 보안 팀은 이를 '치명적' 수준으로 분류했다. 이는 Kraken에서 가장 심각한 보안 사건 분류 수준이다.
초기 취약점을 성공적으로 식별하고 수정한 후, Kraken의 보안 운영 팀은 개별 CertiK 직원에게 불합리한 시간 내에 불일치하는 양의 암호화폐를 반환하라고 위협했으며, 심지어 반환 주소도 제공하지 않았다.
투명성을 위해 그리고 Web3 커뮤니티에 대한 우리의 약속을 위해, 우리는 모든 사용자의 안전을 보호하기 위해 이 정보를 공개한다. 우리는 Kraken이 화이트 해커에 대한 어떤 위협도 중단할 것을 촉구한다.
우리는 공동으로 위험에 직면하며, Web3의 미래를 보호한다."
그 후, CertiK는 전체 시간표와 예치 주소를 공개했다.
CertiK가 발표한 시간표. 출처: CertiK 공식 X
동시에, CertiK는 Kraken이 반환 주소를 제공하지 않고 요구한 반환 금액이 완전히 일치하지 않기 때문에, 기록에 따라 기존 자금을 Kraken이 접근할 수 있는 계좌로 이전했다고 밝혔다.
기타 소식 및 후속 댓글
배경 정보에 따르면, Kraken의 취약점 보상 프로그램의 보상 금액은 실제로 상당하다. 이번 사건과 유사한 최고 보안 사건 수준의 보상은 100-150만 달러 사이이다. 이는 Kraken이 주장하는 300만 달러와 상당한 차이가 있으며, 댓글란에서는 "해커는 반환하지 말아야 한다"고 주장하는 사람도 있었고, 다른 사람은 "당신은 100만 달러의 보상을 받을 것인가, 아니면 300만 달러의 불법 수익을 가지고 감옥에 가고 싶으냐?"고 응답했다.
Kraken 취약점 보상 프로그램의 보상. 출처: Kraken
온체인 탐정 ZachXBT는 "이 이야기는 갈수록 더 황당해진다(Story only gets more wild as it goes on)"고 말했다.
또 다른 트위터 사용자 @trading_axe는 "나는 (CertiK)가 망쳤다고 생각한다…… 그들이 이것을 도둑질이라고 말하지는 않았지만, 도둑은 그들이 가져갈 수 있는 모든 것을 가져가고 도망칠 것이다. 나는 그들이 망친 부분이 단지 300만 달러를 가져갔다는 것이다; 만약 그들이 이 버그를 이용해 1억 달러 이상을 훔쳤다면, 다시 돌려주면 화이트 해커처럼 보일 것이다(즉, 그렇게 해야 그들이 구세주처럼 보일 수 있다). 그러나 당신은 단지 300만 달러를 가져갔고 지금 돌려주도록 강요받고 있으니, 이는 매우 약한 상황이다."라고 말했다.