• White-Hat-Hacking ist ein entscheidender Bestandteil der Cybersicherheit, kann aber auch zu Kontroversen führen – wie kürzlich der Streit zwischen CertiK und Kraken gezeigt hat.

White-Hat-Hacking oder ethisches Hacken ist ein entscheidender Bestandteil der Cybersicherheit. Durch dieses Hacken können „gute Jungs“ Anwendungen analysieren, Sicherheitslücken an Anbieter melden und die Informationen nutzen, um die Sicherheitslage des Ökosystems zu verbessern.

Dies ist kein einzigartiges Konzept in der Blockchain. Es existiert an vielen Stellen, beispielsweise in der Cloud, in der künstlichen Intelligenz, in der Betriebssystemsicherheit und mehr.

In allen Fällen haben Anbieter und Sicherheitsforscher jedoch eine sensible, aber starke Beziehung aufgebaut, die auf dem Balanceakt des Vertrauens basiert.

Im Blockchain-Bereich analysieren und reparieren Prüfer wie Trail of Bits, Halborn und Open Zeppelin seit Jahren verschiedene Smart Contracts. Sie gehen mit äußerster Professionalität vor und schaffen so ein starkes Gefühl des Vertrauens.

Der Streit zwischen CertiK und Kraken

Am 17. Mai entdeckten Forscher von CertiK eine Schwachstelle im Kontostandsberechnungs- und Einzahlungsmechanismus der Digital Asset Exchange von Kraken.

CertiK hat kürzlich eine Reihe kritischer Schwachstellen in der Börse @krakenfx identifiziert, die möglicherweise zu Verlusten in Höhe von Hunderten Millionen Dollar führen könnten.

Ausgehend von einer Feststellung im Einzahlungssystem von @krakenfx, wo möglicherweise nicht zwischen verschiedenen internen… unterschieden wird. pic.twitter.com/JZkMXj2ZCD

– CertiK (@CertiK), 19. Juni 2024

Das Sicherheitsteam von Kraken hat dies zu Recht als kritisches Problem eingestuft und berichtet, dass es innerhalb von 47 Minuten behoben wurde.

Diese Art von Sicherheitslücke scheint zwar auf den ersten Blick harmlos, ermöglicht es Angreifern jedoch, „doppelt auszugeben“, d. h. sie sind in der Lage, eine Einzahlung auf die Börse vorzutäuschen.

Wenn ihr Kontostand an der Börse irrtümlicherweise aktualisiert wird, ziehen sie den gleichen Betrag wieder ab.

Durch dieses Vorgehen wird Geld aus der Haupt-Treasury-Wallet der Börse entfernt (die von den meisten zentralisierten Börsen ähnlich wie Banken zur Verwaltung von Depotgeldern verwendet wird).

CertiK veröffentlichte außerdem die Liste der gefälschten Einzahlungstransaktionen, bei denen die Schwachstelle innerhalb von fünf Tagen mindestens 20 Mal ausgenutzt wurde, und behauptete, sie hätten lediglich die Erkennungsmechanismen von Kraken getestet.

Nachdem ein funktionierender Proof of Concept vorlag, hätten die Forscher von CertiK das Problem umgehend an Kraken melden und eine weitere Ausnutzung der Schwachstelle unterbinden sollen.

Seit dem Vorfall wurden jedoch alle während dieses sogenannten „Tests“ eingenommenen Gelder an Kraken zurückgegeben, mit Ausnahme eines kleinen Betrags, der durch Gebühren verloren ging.

Ein Rahmen für ethisches Hacken

White-Hat-Hacking ist eine heikle Angelegenheit.

Das Ziel besteht darin, die Anwendungssicherheit zu verbessern und Vertrauen und Transparenz zu gewährleisten, ohne das Geschäft des Anbieters zu gefährden.

Die zugrunde liegende Wahrheit ist jedoch, dass White-Hat-Hacker oft PR-getrieben sind und aus den falschen Motiven heraus auf die kühnsten Schlagzeilen abzielen.

Beispielsweise ist die Schlagzeile „CertiK hat es geschafft, 3 Millionen Dollar von Kraken zu stehlen, ohne dass es jemand bemerkt hat“ viel spannender als „Forscher haben einen kritischen Fehler in Kraken gefunden und Millionen von Dollar gespart“.

Hier entsteht Spannung pur. Von ethischen Forschern wird erwartet, dass sie ihre Ergebnisse so schnell wie möglich vorlegen und über einen möglichst schlanken Proof of Concept verfügen, damit das Geschäft des Anbieters nicht gestört wird.

Die einzige Ausnahme besteht, wenn der Anbieter die Forscher zu Penetrationstests auffordert. In diesem Fall hätten sie sich auf den Testumfang und den Verhaltenskodex geeinigt.

Dies war in diesem Fall leider nicht der Fall, da die „unaufgeforderten“ Penetrationstests noch vier Tage lang fortgesetzt wurden, nachdem CertiK einen erfolgreichen Proof of Concept vorgelegt hatte.

CertiK hätte die Gelder vor oder zum Zeitpunkt der ersten Meldung zurückzahlen müssen. Solch ein großer Geldbetrag hätte niemals aus der Schatzkammer von Kraken oder einer anderen Börse entnommen werden dürfen.

Wo Vertrauen Platz findet

Als Branche sollten wir zusammenhalten und aufeinander aufpassen, unabhängig von der Aufmerksamkeit, die eine schädliche Schlagzeile einem konkurrierenden Unternehmen bescheren würde.

Unsere Branche muss gegen eine große Zahl bösartiger Hacker kämpfen. Glücklicherweise verbessern wir auch nach enttäuschenden Entwicklungen wie dieser weiterhin unsere Sicherheitsprodukte und -praktiken, während die Innovation stetig voranschreitet.

Eine branchenweite Zusammenarbeit, bei der vertrauliche und wertvolle Informationen zwischen Wettbewerbern ausgetauscht werden, ist von entscheidender Bedeutung, denn letztendlich ist Sicherheit ein Mannschaftssport.

Wir können als Branche nur dann vorankommen, wenn zwischen den „Guten“ Vertrauen herrscht. Tatsächlich sollte es nicht „wir“ gegen „sie“ heißen – wir arbeiten alle für das Gemeinwohl und das müssen wir in erster Linie im Auge behalten.