코인텔레그래프에 따르면, 암호화폐 거래소 크라켄이 ‘악용’으로 큰 화제가 된 버그 바운티 사건 이후 실종된 자금을 회수하는 데 성공한 것으로 드러났다.
20일 크라켄은 약 300만 달러 상당의 도난당한 디지털 자산을 반환받았다고 확인하면서, 6월 9일에 시작된 크라켄-써틱(CertiK) 사가(saga)에 종지부를 찍었다.
특히 이번 자금 회수는 크라켄의 최고 보안 책임자(CSO)인 니콜라스 페르코코에 의해 이날 X게시글에서 확인이 됐다.
“업데이트: 이제 자금이 반환되었음을 확인할 수 있다(수수료로 인해 손실된 소액을 제외하고).”
앞서 크라켄의 페르코코 CSO는 6월 19일에 처음으로 300만 달러 상당의 자금이 거래소 실종되었다는 사실을 발표했는데, 당시 그는 외부 “보안 연구원”이 기존 버그를 발견하고 공유한 후 회사 자금에서 악의적으로 해당 자금을 인출했다고 주장했다.
특히 크라켄 측은 해당 보안 연구원이 자금을 돌려주기를 거부한 채, 거래소 사업개발팀과의 통화와 보상을 요구하며 협박을 했다고 주장해 관심을 모았다.
크라켄이 자금 유출에 대한 게시글을 올린 직후, 블록체인 보안 회사 써틱은 크라켄이 300만 달러 상당의 디지털 자산을 훔쳤다고 주장하는 “보안 연구원”의 장본인이라는 사실을 공개적으로 밝혔다.
한편, 6월 19일 X게시글에서 써틱은 크라켄 측에 거래소 계좌에서 수백만 달러를 빼낼 수 있는 악용 사례를 알렸다고 밝혔는데, 또한 거래소 팀으로부터 오히려 ‘위협을 받았다’고 주장했다.
“취약성을 식별하고 수정하는 초기 성공적인 전환 이후, 크라켄의 보안 운영팀은 써틱 직원 개개인에게 상환 주소를 제공하지 않은 채로 불합리한 시간 내에 일치하지 않는 금액의 암호화폐를 상환하라고 위협했다.”
그러면서 써틱 측은 지난 6월 5일 익스플로잇(취약점)을 식별해낸 것으로 시작하여 크라켄이 6월 18일 써틱 직원을 위협했다는 주장에 이르기 까지의 일련의 ‘사건 타임라인’을 게시했다.
이어 써틱은 “크라켄이 접근할 수 있는 계좌로 해당 자금을 이체할 계획”이라고 밝혔다.
한편, 페르코코에 따르면, 최초의 4달러 상당의 첫 번째 악성 전송이 버그를 증명하고 크라켄의 버그 바운티 프로그램에서 “상당한 보상을 받기에 충분한 수준이었다”는 주장이다.
그러나 후에 써틱 소속으로 밝혀진 이 보안 연구원은 크라켄 계좌에 약 300만 달러를 빼냈다.
반면, 이와 관련해 써틱은 300만 달러를 반환한 후 작성한 게시글에서 ‘수백만 달러의 금액이 거래소의 한계를 테스트하는 데 필요했다’고 주장했다.
“우리는 크라켄의 보호 및 위험 관리의 한계를 테스트하고 싶었다. 여러 날에 걸쳐 여러 번 테스트하고 300만 달러에 가까운 암호화폐를 처리했지만, 아무런 경고도 발생되지 않았으며, 아직 한계를 파악하지도 못했다.”