Die US-Börse Kraken verlor fast 3 Millionen Dollar in ihrer Kasse, nachdem ein nicht namentlich genanntes Sicherheitsunternehmen einen Fehler auf ihrer Plattform ausnutzte. Der Sicherheitschef Nick Percoco gab dies in einem Beitrag auf X bekannt und erklärte, dass das Sicherheitsunternehmen sich geweigert habe, die Gelder zurückzugeben und nun eine höhere Auszahlung als Kopfgeld verlange.

Lesen Sie auch: Die Kryptobörse DMM Bitcoin verspricht, den Nutzern nach einem Hackerangriff im Wert von 300 Millionen US-Dollar ihr Geld zurückzuerstatten

Als Reaktion darauf hat Kraken die Angelegenheit an die Strafverfolgungsbehörden weitergeleitet und wird sie als strafrechtliche Angelegenheit behandeln. Benutzer müssen sich jedoch keine Sorgen machen, da die Börse behauptet, die Sicherheitslücke bereits behoben zu haben und kein Benutzerkonto betroffen ist.

Kraken-Bug ermöglicht Gelddrucken

Laut Percoco hat ein Sicherheitsforscher Kraken am 9. Juni über sein Bug-Bounty-Programm auf einen kritischen Fehler aufmerksam gemacht. Bei internen Untersuchungen entdeckte das Sicherheitsteam der Börse eine Schwachstelle, die es einem böswilligen Akteur ermöglichen könnte, eine Einzahlung auf sein Kraken-Konto zu veranlassen und die Gelder zu erhalten, ohne die Einzahlung abzuschließen. Ein böswilliger Angreifer könnte durch diesen Exploit Millionen aus dem Nichts drucken.

Er erklärte:

„Wir haben einen isolierten Fehler entdeckt. Dieser ermöglichte es einem böswilligen Angreifer unter den richtigen Umständen, eine Einzahlung auf unsere Plattform zu veranlassen und Geld auf sein Konto zu erhalten, ohne die Einzahlung vollständig abzuschließen.“

Das interne Sicherheitsteam entschärfte das Problem innerhalb von 47 Minuten und behob es nach ein paar Stunden vollständig. Das Unternehmen stellte jedoch fest, dass der Fehler auf eine kürzliche Änderung seiner UX zurückzuführen war, die es ermöglichte, Kundenkonten vor der Freigabe ihrer Vermögenswerte gutzuschreiben. Obwohl die Änderung integriert wurde, um sofortigen Handel zu ermöglichen, wurde sie nicht vollständig auf diese Art von Risiko getestet.

Percoco fügte jedoch hinzu, dass der Vorfall keine Auswirkungen auf die Vermögenswerte der Benutzer hatte und dass die Ausnutzung der Sicherheitslücke lediglich Auswirkungen auf die Kraken-Schatzkammer hatte.

Die Sicherheitsforscher sind Kriminelle

Mittlerweile ergab eine Analyse der Schwachstelle, dass drei Konten den Fehler ausnutzten und eines dieser Konten auf den Namen des Sicherheitsforschers registriert war, der ursprünglich Kontakt mit der Börse aufgenommen hatte.

Lesen Sie auch: Kraken erwägt als Reaktion auf neue EU-Vorschriften die Dekotierung von USDT

Während das Konto des Forschers den Fehler nur dazu nutzte, sich selbst 4 US-Dollar gutzuschreiben, was ausreichte, um zu beweisen, dass der Fehler echt war, zogen die beiden anderen Konten mithilfe desselben Exploits fast 3 Millionen US-Dollar von ihren Kraken-Konten ab. Interessanterweise waren diese Konten mit Mitarbeitern des Sicherheitsforschers verbunden.

Kraken erklärte, dass seine Versuche, die Gelder zurückzubekommen, vergeblich gewesen seien, da die Forscher nun eine höhere Zahlung forderten, die ihrer Ansicht nach dem Risiko des Fehlers angemessen sei.

Percoco bezeichnete dies als einen Akt der Erpressung, der dem Prinzip des Bug-Bounty-Programms widerspricht. Er fügte hinzu, dass die Verletzung dieser Regeln, die White-Hat-Hackern die Lizenz zum Hacken geben, die Sicherheitsforscher zu Kriminellen macht, und die Börse behandelt sie als solche.