Das Krypto-Sicherheitsunternehmen CertiK erklärt, ein betrügerischer Mitarbeiter sei für mehrere Tornado Cash-Transaktionen verantwortlich, die im Zusammenhang mit seinem Angriff auf die Krypto-Börse Kraken im Juni stehen.
Der Vorfall vom 19. Juni, bei dem das Unternehmen rund 3 Millionen Dollar von der Börse abzog, löste damals einen Aufschrei von Krypto-Sicherheitsforschern aus, die fragten, warum ein mit CertiK verbundenes Wallet Gelder über das genehmigte DeFi-Protokoll gesendet hatte.
„Diese Transaktionen wurden nicht in böswilliger Absicht ausgeführt und sie standen nicht im Zusammenhang mit den von Kraken abgehobenen Geldern“, sagte ein Sprecher von CertiK gegenüber DL News und bestätigte, dass einer der Mitarbeiter des Unternehmens Tornado Cash verwendet habe.
Der Sprecher sagte, ein Teammitglied habe ohne Genehmigung einen kleinen Betrag seiner eigenen Mittel an Tornado Cash gesendet und die Mittel sofort auf mehrere neue, ihm gehörende Adressen überwiesen.
Mit Tornado Cash können Benutzer die Rückverfolgbarkeitskette zwischen Blockchain-Transaktionen unterbrechen.
CertiK beharrt zwar darauf, dass es sich bei dem Vorfall um eine „Whitehat“-Operation handelte, die darauf abzielte, die Sicherheit von Kraken zu testen. Es ist jedoch unklar, warum ein Unternehmen, dessen Geschäftsmodell auf der Sicherung von Code für Kryptowährungen basiert, bei der Untersuchung und Prüfung des Exploits offenbar Industriestandards verletzt hat.
„Es tut mir zutiefst leid“
Die neuen Kommentare kommen, nachdem CertiK am 16. August seine erste offizielle Stellungnahme zu dem Vorfall veröffentlicht hatte. Darin hieß es, man habe Schritte unternommen, um „das Risiko zu minimieren, dass sich ähnliche Missverständnisse wiederholen“.
Andere Cybersicherheitsexperten zeigten sich skeptisch.
„Dieser Blog war kaum eine Entschuldigung“, sagte Hudson Jameson, Mitglied der Security Alliance, über die Erklärung von CertiK zu Telegram – einer Messaging-App.
CertiK hat seitdem einen eher entschuldigenden Ton angeschlagen.
„Wir entschuldigen uns zutiefst für die Unannehmlichkeiten und die Verwirrung, die der Kraken-Vorfall für unsere Kunden und die Community verursacht hat“, sagte der Sprecher des Unternehmens gegenüber DL News.
In der Erklärung vom 16. August wurde nicht darauf eingegangen, warum Vermögenswerte aus einem mit der Firma verbundenen Wallet an Tornado Cash überwiesen wurden.
Und CertiK antwortete nicht auf die Anfrage, warum das Teammitglied überhaupt kleine Beträge über Tornado Cash schickte.
Obwohl Tornado Cash legitime Verwendungszwecke hat, ist es aufgrund seiner Beliebtheit bei Geldwäschern, allen voran dem nordkoreanischen Cyberkriminellen-Syndikat Lazarus Group, ins Visier der Aufsichtsbehörden geraten.
Im Jahr 2022 wurde Tornado Cash vom Office of Foreign Asset Control (OFAC) sanktioniert. Laut der Website des OFAC können die Strafen für Verstöße gegen die Sanktionen mehrere Millionen Dollar übersteigen.
Da CertiK ein in den USA registriertes Unternehmen ist, unterliegt es mit ziemlicher Sicherheit solchen Sanktionen.
Und die Tornado Cash-Transaktionen sind nicht die einzige unbeantwortete Frage im Zusammenhang mit dem Debakel.
Eine weitere offene Frage ist, warum CertiK nach der Entdeckung des Fehlers beschlossen hat, einen so großen Geldbetrag – fast 3 Millionen US-Dollar – von Kraken abzuziehen.
„Unser Team hat dies getan, um die Grenzen des Schutzes und der Risikokontrollen von Kraken zu testen“, sagte CertiK. „Unseres Wissens wurden keine Warnungen ausgelöst und es wurden keine Limits aktiviert.“
Branchenstandards schreiben vor, dass der Finder eines Fehlers diesen bei der frühestmöglichen Gelegenheit melden muss, nachdem er festgestellt hat, dass er existiert, und ihn nicht weiter ausnutzen darf, um theoretische Grenzen auszutesten.
Was ist schiefgelaufen?
CertiK, ein Krypto-Sicherheitsunternehmen, das rühmt, Dienstleistungen für mehr als 4.700 Projekte erbracht zu haben, gab an, dass es seitdem Disziplinarmaßnahmen gegen Teammitglieder ergriffen habe, die am Kraken-Exploit beteiligt waren, und gleichzeitig Richtlinien- und Schulungsänderungen umgesetzt habe.
Dazu gehöre laut Angaben des Unternehmens auch die Sicherstellung der internen Einhaltung aller Richtlinien und geltenden Gesetze, einschließlich der Sanktionen des OFAC.
Im vergangenen Jahr hat CertiK im Zuge einer Reihe branchenweiter Entlassungen rund 15 % seiner Belegschaft abgebaut.
CertiK bezeichnete die Stellenstreichungen als „strategische Anpassung der Belegschaft als Reaktion auf die sich verändernde Marktdynamik“. Das Unternehmen wollte sich nicht dazu äußern, ob die Stellenstreichungen Auswirkungen auf die Qualität der internen Prozesse gehabt hätten.
Tim Craig ist der in Edinburgh ansässige DeFi-Korrespondent von DL News. Senden Sie uns Tipps unter tim@dlnews.com.