TLDR

  • Kraken entdeckte einen Fehler, der es Benutzern ermöglichte, ihre Guthaben künstlich aufzublähen und Geld abzuheben, ohne die Einzahlung abzuschließen.

  • CertiK, ein Blockchain-Sicherheitsunternehmen, identifizierte sich als der „Sicherheitsforscher“, der den Fehler ausnutzte und fast 3 Millionen Dollar aus den Kassen von Kraken abzog.

  • Kraken behauptet, CertiK habe sich geweigert, die Gelder zurückzuzahlen, bis die Börse eine Schätzung der potenziellen Verluste vorlege, und bezeichnete dies als „Erpressung“.

  • CertiK verteidigte sein Vorgehen mit der Begründung, dass es das Ausmaß der Sicherheitslücke testete und dass Kraken seinen Mitarbeitern gedroht hatte, einen falschen Geldbetrag innerhalb einer unangemessenen Frist zurückzuzahlen.

  • Der Vorfall hat eine Debatte über die Ethik des White-Hat-Hackings und von Bug-Bounty-Programmen in der Kryptowährungsbranche ausgelöst.

Die Kryptowährungsbörse Kraken gab kürzlich bekannt, dass sie Opfer einer Sicherheitslücke geworden sei, die es Benutzern ermöglichte, ihre Kontostände künstlich aufzublähen und Geld abzuheben, ohne die Einzahlungen vollständig abzuschließen. Die Börse berichtete, dass durch den Angriff fast 3 Millionen Dollar aus ihren Kassen gestohlen wurden.

Das Blockchain-Sicherheitsunternehmen CertiK trat vor die Öffentlichkeit und identifizierte sich als der „Sicherheitsforscher“, der für die Ausnutzung des Fehlers und den Abzug der Gelder verantwortlich sei.

Nick Percoco, der oberste Sicherheitsbeauftragte von Kraken, hatte dem damals noch namentlich nicht genannten Sicherheitsteam zuvor „Erpressung“ vorgeworfen, weil es sich geweigert hatte, die Gelder zurückzugeben, bis die Börse eine Schätzung der möglichen Verluste vorlegte, die entstehen würden, wenn der Fehler nicht bekannt geworden wäre.

Kraken-Sicherheitsupdate:

Am 9. Juni 2024 erhielten wir von einem Sicherheitsforscher eine Warnung im Rahmen des Bug-Bounty-Programms. Zunächst wurden keine Einzelheiten bekannt gegeben, aber in der E-Mail hieß es, man habe einen „extrem kritischen“ Fehler gefunden, der es ihnen ermöglichte, ihr Guthaben auf unserer Plattform künstlich aufzublähen.

– Nick Percoco (@c7five), 19. Juni 2024

CertiK verteidigte sein Vorgehen jedoch mit der Begründung, dass es das Ausmaß der Sicherheitslücke getestet habe und dass Kraken seinen Mitarbeitern gedroht habe, einen falschen Geldbetrag innerhalb einer unangemessenen Frist zurückzuzahlen, ohne auch nur eine Rückzahlungsadresse anzugeben.

CertiK hat kürzlich eine Reihe kritischer Schwachstellen in der Börse @krakenfx identifiziert, die möglicherweise zu Verlusten in Höhe von Hunderten Millionen Dollar führen könnten.

Ausgehend von einer Feststellung im Einzahlungssystem von @krakenfx, wo möglicherweise nicht zwischen verschiedenen internen… unterschieden wird. pic.twitter.com/JZkMXj2ZCD

– CertiK (@CertiK), 19. Juni 2024

Das Sicherheitsunternehmen stellte eine Zeitleiste der Ereignisse zur Verfügung, in der seine Interaktionen mit Kraken und die Entdeckung des Exploits detailliert beschrieben wurden.

Laut CertiK ermöglichte die Sicherheitslücke die Einzahlung von Millionen von Dollar auf jedes Kraken-Konto mit der Möglichkeit, die gefälschten Kryptowährungen abzuheben und in gültige Kryptowährungen umzuwandeln.

Das Unternehmen behauptete außerdem, dass während des mehrtägigen Testzeitraums keine Alarme ausgelöst wurden und Kraken erst Tage nach der ersten Offenlegung reagierte und die Testkonten sperrte.

Der Vorfall hat eine Debatte über die Ethik des White-Hat-Hackings und die Wirksamkeit von Bug-Bounty-Programmen ausgelöst.

Während einige argumentieren, dass CertiKs Vorgehen im Interesse einer gründlichen Prüfung der Sicherheitslücke gerechtfertigt war, sind andere der Ansicht, dass das Unternehmen mit der Abhebung einer so hohen Geldsumme und der Weigerung, diese umgehend zurückzuzahlen, eine Grenze überschritten hat.

Kraken behauptet, dass die Aktionen von CertiK nicht mit den Prinzipien des White-Hat-Hackings übereinstimmen und dass das Unternehmen mit den Strafverfolgungsbehörden zusammenarbeitet, um die Vermögenswerte zurückzuerhalten. Die Börse betonte auch, dass von dem Exploit keine Benutzergelder betroffen waren, da das gestohlene Geld aus Krakens eigenen Kassen stammte.

Der Beitrag „Bug Bounty schiefgelaufen: Kraken beschuldigt CertiK der Erpressung, CertiK verteidigt sein Vorgehen“ erschien zuerst auf Blockonomi.