美 크라켄, 버그 악용 '300만 달러' 탈취 주장...보안업체 "화이트햇 행위, 협박 멈춰야"

미국 암호화폐 거래소 크라켄이 이달 초 취약점을 악용한 공격을 받아 300만 달러 상당을 도난당했지만 현재는 해당 문제를 수정한 상태라고 밝혔다.

닉 퍼코코(Nick Percoco) 크라켄 최고보안책임자(CSO)는 19일(현지시간) X(트위터)를 통해 "6월 9일 한 보안 연구자에게 버그 바운티 프로그램 알림을 받았다"면서 "공격자가 인위적으로 잔액을 부풀릴 수 있는 매우 심각한 수준의 버그에 대한 경고였다"고 밝혔다.

퍼코코 CSO는 "해당 문제를 심각하게 다뤘고, 신속하게 다기능 팀을 구성하여 문제를 조사했다"고 말했다.

조사 결과, 전체 시스템에 영향을 주지 않고 특정 상황에서만 발생할 수 있는 고립된 버그를 발견했다고 밝혔다. 최근 UX 변경 결함에서 발생한 취약점으로, 이를 악용하면 실제 자금 예치가 완료되지 않은 상태에서 계정에 자금이 입금될 수 있었다고 설명했다.

크라켄 보안 책임자는 "1시간 47분 만에 버그를 수정했고 고객 자산이 위험하진 않았다"고 강조했다.

한편, 이미 며칠 사이 3개 계정이 해당 버그를 악용해 자금을 탈취한 것을 확인했다고 주장했다.

이중 한 계정은 보안 연구원이라고 주장했던 버그 신고자로, 버그를 통해 4달러를 계정에 입금했다고 밝혔다. 이는 "결함 확인, 버그 바운티 신고서 제출, 보상금 청구를 위해 충분한 것이었다"고 말했다.

다만 해당 연구원이 해당 버그 내용을 공유한 동료 두 명이 크라켄 거래소의 자금에서 총 300만 달러(41억원)의 금액을 인출했다고 밝혔다.

크라켄 CSO는 해당 보안 연구원들이 버그 보상을 위한 자료 제출 요구를 거부하고, 버그를 발견하지 못했을 경우 발생할 수 있었던 피해 규모를 공개하지 않으면 자금을 반환하지 않겠다고 했다고 주장했다.

이는 시스템의 보안 취약점을 찾아 개선하기 위해 윤리적으로 수행되는 '화이트햇 해킹'이 아니라 강탈 행위라면서 "버그 보상 조건을 위반한 만큼 형사 사건으로 처리할 것"이라고 밝혔다.

이날 블록체인 보안업체 서틱(CertiK)은 공식 X를 통해 "암호화폐 거래소 크라켄의 중대한 취약점을 전달했지만 거래소로부터 협박을 받았다"는 입장을 밝혔다.

보안업체는 "크라켄 보안팀은 취약점 파악·수정 후, 서틱의 개별 직원에게 말도 안 되는 시간 내에 맞지 않는 양의 암호화폐를 반환할 것을 요구했다"면서 "크라켄은 화이트햇 위협을 중단해야 할 것"이라고 말했다.

뉴스 속보를 실시간으로...토큰포스트 텔레그램 가기