코인데스크에 따르면, 미국의 주요 암호화폐 거래소 중 하나인 크라켄의 최고 보안 책임자인 닉 페르코코(Nick Percoco)가 X게시글을 통해 거래소가 지난 6월 9일 외부 보안 연구원으로부터 ‘사용자가 인위적으로 잔고를 부풀릴 수 있는’ 취약점에 대한 “버그 바운티(포상금) 프로그램” 경고를 받았다고 밝혔다.
페르코코는 “이 버그로 인해 적절한 상황에서 악의적인 공격자가 우리 플랫폼에 입금을 시작한 후, 입금을 완전히 완료하지 않은 상태에서 자신의 계좌로 자금을 전송 받을 수 있었다”고 말했다.
또 그에 따르면, 크라켄은 보고를 접수한 후 즉시 문제를 해결한 상태이며, 사용자 자금에는 영향이 없다고 한다.
써틱의 보안 연구원은 버그를 발견하자마자 다른 두 연구원에게 이 사실을 공개했는데, 그 중 한 명이 크라켄 계좌에서 약 300만 달러(=41억 4,870만 원)를 “사기적으로” 인출한 것. 페르코코는 “이것은 다른 고객 자산이 아닌 크라켄의 금고에서 나온 것”라고 밝혔다.
초기 버그 보고서에는 다른 두 개인의 거래가 언급되지 않았으며, 크라켄은 그들의 활동에 대한 자세한 내용에 대해 밝히기를 꺼려했다.
페르코코는 “대신 그들은 비즈니스 개발팀과의 통화를 요구했으며, 해당 버그 공개를 통한 추측 금액을 우리가 제공할 때까지 자금을 반환하기로 동의하지 않았다. 이들은 화이트해커가 아니였으며 악의적인 해킹이자 강탈이었다”고 설명했다.
한편, 크라켄 측은 해당 연구원들이 누구인지 공개하지 않았지만, 나중에 써틱(Certik)의 연구원들로 밝혀졌으며 이후 소셜 미디어 게시물을 통해 암호화폐 거래소에서 여러 가지 취약점이 추가적으로 발견됐다고 한다.
또한 써틱은 “수일간의 테스트”가 실시됐으며, 이 버그가 수백만 달러 상당의 암호화폐를 생성하는 데 악용될 수 있었다고 강조했다.
“모든 크라켄 계정에 수백만 달러를 입금할 수 있다. 엄청난 양의 조작된 암호화폐(100만 달러 이상의 가치)가 계정에서 인출되어 유효한 암호화폐로 전환될 수 있었다. 더 나쁜 것은 며칠에 걸친 테스트 기간 동안 경고가 트리거되지 않았다는 것이다.”
한편, 써틱 측 주장에 따르면, 해당 버그 바운티와 관련해 크라켄과의 첫 대화 이후 상황은 더 악화됐다고 한다.
“크라켄의 보안운영 팀은 상환 주소를 제공하지 않았음에도 불구하고 불합리한 시간에 일치하지 않는 금액의 암호화폐를 상환하도록 개별 써틱 직원을 위협했다.”
반면, 이와 관련해 크라켄은 포상금을 지급 받으려면 크라켄의 버그 바운티 프로그램에서 제3자가 문제를 찾고, 버그를 증명하는 데 필요한 최소한의 금액을 악용한 후, 자산을 반환하고 취약점에 대한 세부 정보를 제공해야 한다고 밝혔지만, 보안 연구원들은 이러한 규칙을 따르지 않았기 때문에 현상금을 받을 수 없다고 주장한다.
“우리는 이러한 연구원들을 선의로 참여시켰으며, 10년 동안 버그 바운티 프로그램을 운영한 것에 맞춰 그들의 노력에 상당한 포상금을 제공했다. 우리는 이번 사건에서 실망하게 됐으며 현재 법 집행 기관과 협력하여 악용된 자금을 회수하는 과정에 있다.”