알림
|
암호화폐 거래소 보안 '빨간불'…크라켄, 300만 달러 자산 도둑 맞았다
페이지 정보
작성일
2024.06.20 09:45
본문
취약점 발견한 보안연구원, 크라켄 암호화폐 탈취…"고객 자산에는 문제 없어"
암호화폐 거래소의 취약점을 발견한 보안연구원이 이를 악용해 암호화폐를 탈취하는 사건이 발생했다.
20일 해커뉴스 등 외신에 따르면 암호화폐 거래소 크라켄(Kraken)은 익명의 보안 연구원이 거래소 플랫폼의 '치명적인' 제로데이 결함을 악용해 300만 달러 상당의 디지털 자산을 훔쳤다고 밝혔다.
닉 페코코 크라켄 최고 보안 책임자(CSO)은 "지난 9일 한 보안 연구원이 인위적으로 거래 잔액을 부풀릴 수 있는 취약점을 버그바운티 프로그램을 통해 신고했다"고 말했다.
…
문제는 취약점을 신고한 보안 연구원이 이미 이를 악용해 크라켄 계좌에서 약 300만 달러 상당의 암호화폐를 탈취한 것으로 확인됐다는 점이다.
이어 "이 보안연구원은 비즈니스 개발팀과 통화를 요구하며 이 취약점을 공개하지 않았을 때 발생할 수 있는 피해 금액을 산정해 보상금액을 제공할 것을 강요했다"며 "만약 비용을 지불하지 않는다면 암호화폐를 반환하지 않을 것이라고 협박했다"고 말했다.
…
서명 테스트
-
등록일 06.29 16:09
-
등록일 06.27 20:01
-
등록일 06.25 08:09
-
등록일 06.21 14:32
-
등록일 06.21 11:15
-
등록일 06.21 11:03
-
등록일 06.20 09:45
-
등록일 06.19 03:03
-
등록일 06.18 17:38
-
등록일 06.17 15:17
서명 테스트
댓글 8
/ 1 페이지
가사라님의 댓글
여러 기사들을 보니 크라켄 시스템의 입금관련쪽에 문제가 있었던 거 같더군요.
크라켄 지갑으로 코인이 입금되면 크라켄 특정 회원 계정에 잔고가 얼마 있다를 표시해주는데, 입금이 안되었는데도 불구하고 잔고가 있는 것처럼 시스템을 조작할 수 있었다고 하네요.
그래서 이 직원은 자기 잔고를 허위로 채운 다음에 유유히 출금프로세스를 통해서 크라켄 지갑에 있던 코인을 출금시켰다고 합니다.
사실, 거래소 지갑에 입금한다는거 자체가 내 코인을 다른 사람에게 송금하는거와 마찬가지이기 때문에 절대로 코인거래소에 코인을 오래 놔두면 안되는데요.
어쨌든, 누가 출금했고 어느 주소에 코인이 있는지는 다 추적이 되니까 직원도 그 코인을 맘대로 쓸 수는 없을거고, 크라켄도 빨리 되돌려 받아야 하니까 직원과 합의해서 적절한 보상금으로 마무리는 하겠네요.
직원은 크라켄 코인을 인질로 인생 한 방을 노린거 같고요.
크라켄 지갑으로 코인이 입금되면 크라켄 특정 회원 계정에 잔고가 얼마 있다를 표시해주는데, 입금이 안되었는데도 불구하고 잔고가 있는 것처럼 시스템을 조작할 수 있었다고 하네요.
그래서 이 직원은 자기 잔고를 허위로 채운 다음에 유유히 출금프로세스를 통해서 크라켄 지갑에 있던 코인을 출금시켰다고 합니다.
사실, 거래소 지갑에 입금한다는거 자체가 내 코인을 다른 사람에게 송금하는거와 마찬가지이기 때문에 절대로 코인거래소에 코인을 오래 놔두면 안되는데요.
어쨌든, 누가 출금했고 어느 주소에 코인이 있는지는 다 추적이 되니까 직원도 그 코인을 맘대로 쓸 수는 없을거고, 크라켄도 빨리 되돌려 받아야 하니까 직원과 합의해서 적절한 보상금으로 마무리는 하겠네요.
직원은 크라켄 코인을 인질로 인생 한 방을 노린거 같고요.
뭉코건볼님의 댓글의 댓글
@가사라님에게 답글
뭐 이건 크라켄만의 문제가 아니라 모든 중앙화 거래소의 문제점이기도 합니다.
우리가 아는 대부분의 거래소들은 고객의 잔고를 DB로 관리하기 때문에, DB만 조작하면 얼마든지 "돈 복사"가 가능해지는거고, 거래소들이 받는 수많은 보안인증들은 "이 회사는 아무나 DB 조작 하기 어렵습니다"를 증명 받는거죠.
우리가 아는 대부분의 거래소들은 고객의 잔고를 DB로 관리하기 때문에, DB만 조작하면 얼마든지 "돈 복사"가 가능해지는거고, 거래소들이 받는 수많은 보안인증들은 "이 회사는 아무나 DB 조작 하기 어렵습니다"를 증명 받는거죠.
백장미님의 댓글의 댓글
@가사라님에게 답글
가사라님// 아주 전형적인 파라미터 변조를 이용한 가격변조 공격기법이군요.
/Vollago
/Vollago
MarginJOA님의 댓글
어... 취약점을 신고했다는건 신분이 까발려졌다는건데 저렇게 털어가면 쇠고랑 아닌가요? 왜...
뭉코건볼님의 댓글
"보안 연구원"이라는 표현이 좀 의아해서 기사 링크에 들어가보니 정식 라이센스?를 받은 화이트해커인가보네요?
닉 페코코 CSO는 "이것은 화이트해킹이 아닌 갈취"라며 "보안 규칙을 무시하고 회사의 자산을 갈취하면 보안연구원으로서의 해킹 라이센스가 취소되고 범죄자로 신고할 수밖에 없다"고 강조하며 관련 당사자들에게 훔친 자금을 돌려줄 것을 촉구했다.
닉 페코코 CSO는 "이것은 화이트해킹이 아닌 갈취"라며 "보안 규칙을 무시하고 회사의 자산을 갈취하면 보안연구원으로서의 해킹 라이센스가 취소되고 범죄자로 신고할 수밖에 없다"고 강조하며 관련 당사자들에게 훔친 자금을 돌려줄 것을 촉구했다.
HTTR님의 댓글
암호화폐가 아무리 안전하게 블록체인으로 모든 트랜잭션을 증명한다해도 거래소라는건 안전과 거래가 멀기 때문에 아무리 기술적으로 빠른 트랜잭션과 낮은 수수료로 구현할 수 있는 암호화폐가 나와도 거래소란 걸 없애지 않으면 화폐를 대체할 수가 없다고 봅니다.
kkigomi님의 댓글
취약점은 바로 수정했다고하니 취약점을 신고하기 전에 이미 털었던 것 같지만요.