Kraken sagte, externe Sicherheitsforscher hätten eine Schwachstelle gefunden, die von der Kryptobörse behoben worden sei.
Die Forscher hätten heimlich fast 3 Millionen Dollar abgehoben und sich geweigert, das Geld zurückzugeben, ohne vorher die Höhe des Kopfgeldes gesehen zu haben, sagte Kraken.
Kraken gab an, dass es den Forschern die Belohnung nicht auszahlen werde, da sie sich nicht an die Programmregeln gehalten hätten.
Die Krypto-Börse Kraken sagte, dass „Sicherheitsforscher“, die eine Schwachstelle auf der Plattform entdeckt hatten, zu „Erpressung“ übergingen, nachdem sie etwa 3 Millionen Dollar aus der Kasse der Börse abgehoben hatten.
Nick Percoco, Krakens Sicherheitschef, sagte in einem Beitrag auf der Social-Media-Plattform X (ehemals Twitter), dass das Unternehmen am 9. Juni von einem Sicherheitsforscher eine Warnung über ein „Bug-Bounty-Programm“ über eine Sicherheitslücke erhalten habe, die es Benutzern ermögliche, ihr Guthaben künstlich aufzublähen. Der Fehler „ermöglichte es einem böswilligen Angreifer unter den richtigen Umständen, eine Einzahlung auf unsere Plattform zu veranlassen und Geld auf sein Konto zu erhalten, ohne die Einzahlung vollständig abzuschließen“, fügte Percoco hinzu.
Kraken-Sicherheitsupdate: Am 9. Juni 2024 erhielten wir von einem Sicherheitsforscher eine Warnung zum Bug-Bounty-Programm. Zunächst wurden keine Einzelheiten bekannt gegeben, aber in der E-Mail hieß es, ein „extrem kritischer“ Fehler gefunden zu haben, der es ihnen ermöglichte, ihr Guthaben auf unserer Plattform künstlich aufzublähen.
– Nick Percoco (@c7five), 19. Juni 2024
Nach Erhalt des Berichts hat Kraken das Problem rasch behoben und es wurden keine Benutzergelder beeinträchtigt, bemerkte Percoco.
Was danach geschah, war für Krakens Team ein Alarmsignal.
Als der Sicherheitsforscher den Fehler entdeckte, soll er ihn zwei weiteren Personen mitgeteilt haben, die daraufhin „betrügerisch“ fast 3 Millionen Dollar von ihren Kraken-Konten abgehoben haben. „Das stammte aus Krakens Kassen, nicht aus anderen Kundenvermögen“, sagte Percoco.
Im ursprünglichen Fehlerbericht wurden die Transaktionen der beiden anderen Personen nicht erwähnt und als Kraken um weitere Einzelheiten zu ihren Aktivitäten bat, lehnten sie dies ab.
„Stattdessen forderten sie ein Gespräch mit ihrem Geschäftsentwicklungsteam (also ihren Vertriebsmitarbeitern) und haben nicht zugestimmt, Geld zurückzuzahlen, bis wir einen geschätzten Dollarbetrag nennen, den dieser Fehler verursacht haben könnte, wenn sie ihn nicht offengelegt hätten. Das ist kein White-Hat-Hacking, das ist Erpressung!“, schrieb Percoco.
Bug-Bounty-Programme – die von vielen Unternehmen zur Stärkung ihrer Sicherheitssysteme eingesetzt werden – laden Hacker von Drittanbietern, sogenannte „White Hats“, ein, Schwachstellen zu finden, damit das Unternehmen sie beheben kann, bevor ein böswilliger Akteur sie ausnutzt. Krakens Konkurrent Coinbase verfügt über ein ähnliches Programm, um die Börse auf Schwachstellen aufmerksam zu machen.
Um die Prämie zu erhalten, muss laut Kraken-Programm ein Dritter das Problem finden, den zum Nachweis des Fehlers erforderlichen Mindestbetrag ausnutzen, die Vermögenswerte zurückgeben und Einzelheiten zur Schwachstelle bereitstellen, erklärte Kraken in einem Blogbeitrag. Da die Sicherheitsforscher diese Regeln nicht befolgt hätten, würden sie auch keine Prämie erhalten.
„Wir haben diese Forscher in gutem Glauben engagiert und im Einklang mit einem Jahrzehnt des Bug-Bounty-Programms eine beträchtliche Belohnung für ihre Bemühungen geboten. Wir sind von dieser Erfahrung enttäuscht und arbeiten nun mit den Strafverfolgungsbehörden zusammen, um die Vermögenswerte dieser Sicherheitsforscher zurückzuerhalten“, sagte ein Sprecher von Kraken gegenüber CoinDesk.
Weiterlesen: Ihr Krypto-Projekt braucht einen Sheriff, keinen Kopfgeldjäger