Der Beitrag Crypto Exchange Kraken verliert 3 Millionen Dollar durch ausgenutzte Sicherheitslücke erschien zuerst auf Coinpedia Fintech News
Kraken, die weltweit führende Handelsplattform für Kryptowährungen, gab kürzlich zu, dass sie Opfer eines Angriffs geworden sei, bei dem eine Zero-Day-Sicherheitslücke erfolgreich ausgenutzt wurde, um Kryptowährungen im Wert von mehreren Millionen zu stehlen.
Der Exploit enthüllt
Kraken erhielt am 9. Juni 2024 eine E-Mail von seinem Bug-Bounty-Forscher, der das Unternehmen auf eine schwerwiegende Sicherheitslücke im Netzwerk aufmerksam machte. Wie Nick Percoco, Chief Security Officer von Kraken, erklärte, ermöglichte die Schwachstelle einem Angreifer, die Bilanzzahlen auf der Website in einem Ausmaß zu manipulieren, das nicht durch tatsächliche Mittel gedeckt war.
Aufgrund dieser kritischen Sicherheitslücke konnte der Angreifer Einzahlungen vornehmen und Geld auf das Konto abheben, ohne den Einzahlungsvorgang abzuschließen.
Schnelle Reaktion, aber nicht schnell genug
Kraken konnte auf die Warnung reagieren und das Sicherheitsproblem innerhalb von 47 Minuten beheben. Das Problem wurde auf eine vor einiger Zeit eingeführte neue Benutzeroberfläche zurückgeführt, die es Kunden ermöglichte, Einzahlungen zu tätigen und das Geld zu verwenden, bevor die Einzahlungen von der Clearingstelle identifiziert wurden, falls dies überhaupt geschah.
Kraken erklärte zwar, dass bei der Infiltration kein Bargeld der Kunden verloren gegangen sei, der Fehler ermöglichte es jedoch Personen mit bösen Absichten, Falschgeld einzuzahlen und abzuheben.
In diesem Fall versuchten drei Konten innerhalb einer Woche den gleichen Schritt und alle versuchten, 3 Millionen Dollar aus der Börse zu transferieren. Eines dieser Konten gehörte dem Sicherheitsforscher, der diesen Fehler kürzlich gemeldet hatte.
Was die erste identifizierte Schwachstelle betrifft, kommentierte Percoco, dass eine Person, die sie ausnutzen wollte, 4 Dollar in Kryptowährung investierte, um das Problem zu veranschaulichen, und das könnte für einen Bug-Bounty-Bericht und eine anschließende Belohnung ausreichen. Der Forscher beschloss jedoch, die Details des Fehlers an zwei weitere Teilnehmer weiterzugeben, die zusammen fast 3 Millionen Dollar aus Krakens Schatzkammern stehlen konnten.
Ethisches Dilemma oder Erpressung?
Als Kraken die Personen aufforderte, die gestohlenen Gelder zurückzugeben und einen Proof-of-Concept-Exploit (PoC) bereitzustellen, verlangten die Forscher eine Zahlung im Austausch für die Rückgabe der Vermögenswerte. Percoco verurteilte dieses Verhalten als Erpressung und betonte, dass es gegen die ethischen Grundsätze des White-Hat-Hacking verstoße.
Kraken behandelt den Vorfall als Kriminalfall und koordiniert dies mit den Strafverfolgungsbehörden
Lesen Sie auch: SCHOCKIEREND: Krypto-Betrug mit „Schweineschlachterei“ nimmt zu! Was Sie wissen sollten