Der Sicherheitschef von Kraken gab bekannt, dass ein Fehler im Finanzierungssystem der Börse zu einem Verlust von 3 Millionen US-Dollar geführt habe, nachdem dieser von betrügerischen Sicherheitsforschern ausgenutzt worden war.
Die amerikanische Kryptobörse Kraken verlor Anfang Juni Kryptowährungen im Wert von rund 3 Millionen Dollar, nachdem ein betrügerischer „Sicherheitsforscher“ einen Fehler im Finanzierungssystem der Börse ausnutzte. Krakens Sicherheitschef Nick Percoco gab den Vorfall in einem X-Thread bekannt und betonte, dass die beteiligten Personen gegen ethische Standards verstoßen hätten.
Jeden Tag erhalten wir gefälschte Bug-Bounty-Berichte von Leuten, die behaupten, „Sicherheitsforscher“ zu sein. Das ist für niemanden, der ein Bug-Bounty-Programm betreibt, etwas Neues. Wir haben das jedoch ernst genommen und schnell ein funktionsübergreifendes Team zusammengestellt, um dieses Problem zu untersuchen. Hier ist, was wir herausgefunden haben.
– Nick Percoco (@c7five), 19. Juni 2024
Laut Percoco erhielt das Team am 9. Juni erstmals eine Benachrichtigung von einem „Sicherheitsforscher“ über einen möglichen Fehler. Später fand das Team einen „Fehler, der auf eine kürzliche UX-Änderung zurückzuführen war“, der es ermöglichte, Kundenkonten vor der Freigabe ihrer Vermögenswerte gutzuschreiben, sodass Kunden effektiv in Echtzeit auf Kryptomärkten handeln konnten. Der CSO von Kraken gab zu, dass die Börse die UX-Änderung vor dem Angriff nicht gegen diesen spezifischen Angriffsvektor getestet hatte.
„Diese UX-Änderung wurde nicht gründlich gegen diesen spezifischen Angriffsvektor getestet“, schrieb Percoco.
Das könnte Sie auch interessieren: Kraken fordert erneut die Abweisung der SEC-Klage wegen falscher Formulierungen
Nachdem die Sicherheitslücke gepatcht worden war, stellte Kraken fest, dass drei Konten innerhalb weniger Tage zuvor denselben Fehler ausgenutzt hatten. Anstatt den Fehler direkt zu melden, teilte der Sicherheitsforscher die Informationen angeblich mit zwei Mitarbeitern, sagte Percoco und fügte hinzu, dass die unbekannten Personen letztendlich fast 3 Millionen Dollar aus Krakens Kassen abgehoben hätten.
Percoco wies darauf hin, dass der ursprüngliche Bericht des „Sicherheitsforschers“ den Fehler nicht vollständig offenlegte, sodass das Team einige Details erneut bestätigen musste, um mit der Belohnung für die erfolgreiche Identifizierung einer Sicherheitslücke fortfahren zu können.
Kraken forderte einen vollständigen Bericht über ihre Aktivitäten, einen Proof of Concept und die Rückgabe der abgehobenen Gelder. Die Personen weigerten sich jedoch, dem nachzukommen, was Percoco als „kein White-Hat-Hacking“, sondern eher als „Erpressung“ bezeichnete. Es bleibt unklar, ob Kraken alle Angreifer identifizierte oder es gelang, die gestohlenen Gelder zurückzuerhalten.
Weiterlesen: Krypto-Börse Kraken strebt 100 Millionen Dollar Kapitalerhöhung vor Börsengang an