ก.ล.ต.พบช่องโหว่เหรียญ KUB

ก.ล.ต.พบช่องโหว่เหรียญ KUB เสี่ยงถูกแฮ็ก โอนเงินออกจากวอลเล็ต

บอร์ด ก.ล.ต.สั่ง Bitkub แก้ไขเทคโนโลยีของเหรียญ KUB หลังพบช่องโหว่อาจถูกผู้ไม่หวังดีแฮ็ก โอนสินทรัพย์ออกจากวอลเล็ตลูกค้า

ก.ล.ต.พบช่องโหว่

วันนี้ (6 ต.ค. 2565) สำนักงานคณะกรรมการกำกับหลักทรัพย์และตลาดหลักทรัพย์ (ก.ล.ต.) เปิดเผยว่า ตามที่คณะกรรมการกำกับหลักทรัพย์และตลาดหลักทรัพย์ (คณะกรรมการ ก.ล.ต.) ในการประชุมครั้งที่ 7/2565 และครั้งที่ 10/2565

มีมติสั่งการให้บริษัท บิทคับ ออนไลน์ จำกัด (Bitkub) ดำเนินการแก้ไขการคัดเลือกและอนุมัติเหรียญ KUB เข้ามาให้บริการในศูนย์ซื้อขายสินทรัพย์ดิจิทัลภายในวันที่ 4 ส.ค. 2565

โดยให้ Bitkub ประสานกับผู้ออกเหรียญ KUB ให้แก้ไขมาตรฐานเทคโนโลยีของโปรเจคเหรียญ KUB ให้เป็นไปตามที่คณะกรรมการคัดเลือกสินทรัพย์ดิจิทัลของ Bitkub ได้พิจารณาไว้ (เมื่อวันที่ 5 พ.ค. 2564)

โดย Bitkub ได้มีหนังสือลงวันที่ 4 ส.ค. 2565 ชี้แจงการแก้ไขการคัดเลือกและอนุมัติเหรียญ KUB เข้ามาให้บริการซื้อขายในศูนย์ซื้อขายสินทรัพย์ดิจิทัล พร้อมนำส่งเอกสารที่เกี่ยวข้องแล้ว นั้น

คณะกรรมการ ก.ล.ต. ในการประชุมครั้งที่ 13/2565 เมื่อวันที่ 6 ต.ค. 2565 ได้พิจารณาคำชี้แจงข้อเท็จจริงของ Bitkub และเอกสารหลักฐานอื่นๆ ที่เกี่ยวข้องแล้ว พบข้อเท็จจริงใหม่ว่า

เทคโนโลยีของโปรเจคเหรียญ KUB มีระบบ adminTransfer* ซึ่งอาจก่อให้เกิดความเสี่ยงที่ผู้ไม่หวังดีจะสามารถโอนสินทรัพย์ดิจิทัลจากกระเป๋าสินทรัพย์ดิจิทัลใดๆ ได้ หากเข้าถึงสิทธิในระบบดังกล่าว

อีกทั้งไม่ปรากฏการควบคุมเชิงเทคนิค (Technical Control) จึงพิจารณาได้ว่า การที่ Bitkub ให้บริการซื้อขายเหรียญ KUB ซึ่งมี adminTransfer ที่ยังไม่ได้มีการคำนึงถึงความเสี่ยงตามที่กล่าวข้างต้น เป็นการดำเนินงานที่อาจก่อให้เกิดความเสียหายต่อประชาชน

คณะกรรมการ ก.ล.ต. จึงอาศัยอำนาจตามมาตรา 35 วรรคหนึ่ง แห่งพระราชกำหนดการประกอบธุรกิจสินทรัพย์ดิจิทัล พ.ศ. 2561 สั่งการให้ Bitkub แก้ไขการดำเนินการที่อาจก่อให้เกิดความเสียหายต่อประชาชน

โดยประสานกับผู้ออกเหรียญ KUB ให้แก้ไขมาตรฐานเทคโนโลยีของโปรเจคเหรียญ KUB และแก้ไขในส่วนของ adminTransfer เพื่อจำกัดผลกระทบในเชิงระบบจากความเสี่ยงต่อสินทรัพย์ดิจิทัลของผู้ถือเหรียญ KUB จากการเข้าถึงระบบดังกล่าวโดยไม่ได้รับอนุญาต โดยคำนึงถึงการแก้ไขในเชิงเทคนิค (By Design) และการลดโอกาสการแทรกแซงของบุคลากร

รวมทั้งให้ Bitkub แสดงหลักฐานเกี่ยวกับการแก้ไขดังกล่าวอย่างชัดเจนต่อ ก.ล.ต. ภายใน 30 วันนับแต่วันที่ 6 ต.ค. 2565 และให้ Bitkub เปิดเผยความเสี่ยงเกี่ยวกับ adminTransfer ของเหรียญ KUB บนเว็บไซต์ของ Bitkub ภายใน 3 วันนับแต่วันที่ 6 ต.ค. 2565

* adminTransfer คือ ระบบที่ให้ผู้ดูแลระบบ สามารถโอนสินทรัพย์ดิจิทัลจากกระเป๋าสินทรัพย์ดิจิทัลใดๆ ได้