암호화폐 거래소, 제로데이 익스플로잇으로 300만 달러 벌금 부과
최근 보도에 따르면, 유명 암호화폐 거래소인 크라켄은 제로데이 익스플로잇으로 인해 3백만 달러의 디지털 자산이 도난당한 중대한 보안 사고를 공개했습니다. 크라켄의 최고 보안 책임자인 닉 퍼코코는 신원이 확인되지 않은 보안 연구원이 심각한 결함을 악용한 사실을 자세히 설명하며 보안 침해를 공개했습니다. 이 사용자 인터페이스 변경 결함을 통해 플랫폼의 입금 프로세스를 조작하여 거래를 완료하지 않고 계정 잔액을 인위적으로 부풀릴 수 있었습니다.
제로데이 익스플로잇 - 즉각적인 대응 및 취약점 공개
버그 바운티 프로그램 경고를 받은 크라켄은 신속하게 보안 문제를 파악했습니다. 이 결함으로 인해 공격자는 입금 절차를 완전히 완료하지 않고도 입금을 시작하고 자금을 수령할 수 있었습니다. 자산 조작의 잠재적 위험에도 불구하고 크라켄은 사고 발생 내내 고객 자금이 안전하게 유지되었다며 사용자를 안심시켰습니다. 제로데이 취약점은 최근 사용자 인터페이스 업데이트에서 실수로 입금 처리 프로토콜이 변경되면서 발생했습니다.
착취 및 갈취
추가 조사를 통해 최초 보안 연구원과 연결된 계정을 포함한 3개의 계정이 단기간 내에 이 취약점을 악용하여 크라켄의 준비금에서 3백만 달러를 빼돌린 것으로 밝혀졌습니다. 이 연구원은 크라켄의 버그 바운티 프로그램에 따라 취약점을 신고하는 대신 무단 거래를 수행한 동료들과 취약점을 공유한 것으로 추정됩니다. 크라켄에서 협조를 요청하자 훔친 자산을 돌려주는 대신 돈을 요구했고, 크라켄의 보안 팀으로부터 갈취 혐의로 고발당했습니다.
CertiK의 참여와 논란
블록체인 보안 회사인 CertiK가 암호화폐 거래소 크라켄의 보안 침해를 탐지한 주체로 떠올랐습니다. 이들은 크라켄에서 조작된 암호화폐의 생성 및 인출을 용이하게 하는 중대한 결함을 발견했다고 주장했습니다. CertiK는 자신들의 테스트가 크라켄의 보안 인프라의 취약점을 드러내기 위한 목적이었다고 주장하며 자신들의 행동을 옹호했습니다. 그러나 크라켄은 CertiK의 활동이 업계 표준을 준수하지 않았으며 법적 및 재정적 위험을 초래했다고 주장하며 CertiK의 주장에 이의를 제기했습니다.
해결 및 복구
크라켄은 거래 수수료로 손실된 소액을 제외한 모든 자금을 회수했습니다. 크라켄은 회수한 290만 달러를 USDT 에어드랍을 통해 피해 사용자들에게 즉시 다시 분배했습니다. 이번 보상으로 크라켄은 암호화폐 분야에서 강력한 사이버 보안 조치의 중요성을 강조하며 어려운 에피소드를 마무리했습니다.
교훈을 얻고 앞으로 나아가기
크라켄은 세 계정의 취약점이 악용된 사건에 대응하여 보안 프로토콜과 버그 바운티 프로그램에 대한 노력을 강화했습니다. 또한 암호화폐 커뮤니티 내에서 신뢰와 무결성을 유지하는 데 있어 책임감 있는 취약점 공개와 윤리적 해킹 관행의 중요한 역할을 강조했습니다. 또한 크라켄은 미래의 위협을 효과적으로 완화하기 위해 지속적인 경계와 신속한 대응 역량이 필요하다고 강조했습니다.
결론
크라켄에서 발생한 제로데이 익스플로잇 공격은 암호화폐 거래소가 직면한 지속적인 사이버 보안 문제를 잘 보여줍니다. 디지털 자산의 중요성이 계속 부각됨에 따라 엄격한 보안 조치의 중요성은 아무리 강조해도 지나치지 않습니다. 크라켄의 선제적인 사고 대응은 협업과 책임감에서 얻은 교훈과 함께 진화하는 디지털 금융 환경에서 복원력과 복구에 대한 선례를 남겼습니다.