Das Blockchain-Sicherheitsunternehmen CertiK bestätigte, dass es hinter einem Bug-Exploit steckt, der zu einer unbefugten Abhebung von Token im Wert von 3 Millionen US-Dollar von Kraken führte.

Das Blockchain-Sicherheitsunternehmen CertiK mit Hauptsitz in New York hat zugegeben, hinter einem Bug-Exploit zu stecken, der zu einer unbefugten Abhebung von Token im Wert von 3 Millionen US-Dollar von der Krypto-Börse Kraken führte.

In einem Thread auf X vom 19. Juni gab CertiK bekannt, dass es eine Reihe „kritischer Schwachstellen“ in der Börse von Kraken entdeckt habe, die „potenziell zu Verlusten in Höhe von Hunderten Millionen Dollar führen könnten“.

CertiK hat kürzlich eine Reihe kritischer Schwachstellen in der Börse @krakenfx identifiziert, die möglicherweise zu Verlusten in Höhe von Hunderten Millionen Dollar führen könnten. Ausgehend von einem Befund im Einzahlungssystem von @krakenfx, bei dem möglicherweise nicht zwischen verschiedenen internen … unterschieden wird. pic.twitter.com/JZkMXj2ZCD

– CertiK (@CertiK), 19. Juni 2024

Laut CertiK wurde das Problem erstmals am 5. Juni festgestellt und Kraken hat mehrere Tests nicht bestanden, was darauf hindeutet, dass das Defense-in-Depth-System der Börse „an mehreren Fronten kompromittiert“ war. Das Unternehmen wies insbesondere darauf hin, dass es ihm gelungen sei, die Abhebungsrisikokontrollen der Börse zu umgehen, ohne Alarm auszulösen.

„Eine riesige Menge an gefälschten Kryptowährungen (im Wert von über 1 Mio. USD) kann vom Konto abgehoben und in gültige Kryptowährungen umgewandelt werden. Schlimmer noch, während des mehrtägigen Testzeitraums wurden keine Warnungen ausgelöst. Kraken reagierte erst Tage, nachdem wir den Vorfall offiziell gemeldet hatten, und sperrte die Testkonten.“

CertiK

Das könnte Sie auch interessieren: Sicherheitschef von Kraken gibt bekannt, dass UX-Änderung zu Bug-Exploit im Wert von 3 Millionen Dollar führte

Nach der Entdeckung der Schwachstellen informierte CertiK nach eigenen Angaben Kraken, dessen Sicherheitsteam das Problem als „kritisch“ einstufte. Nachdem der Exploit jedoch identifiziert und behoben worden war, behauptet CertiK, dass das Sicherheitsteam von Kraken einzelne CertiK-Mitarbeiter „bedrohte“ und die Rückzahlung eines „falschen Kryptobetrags innerhalb einer unangemessenen Zeit verlangte, sogar ohne Angabe von Rückzahlungsadressen“.

CertiK forderte Kraken auf, „alle Drohungen gegen Whitehat-Hacker einzustellen“ und bekräftigte sein Engagement für die Web3-Community „im Geiste der Transparenz“. Der Vorfall hat jedoch innerhalb der Blockchain-Community Kontroversen und Skepsis ausgelöst, da Blockchain-Forscher auf Unstimmigkeiten in CertiKs Zeitleiste und Behauptungen hingewiesen haben.

HAHAHHA, IHR VERDAMMTEN CLOWNS. Es gibt absolut KEIN Universum, in dem dies „Whitehat-Sicherheitsforschung“ ist. Kraken ist unglaublich geduldig und nennt es nicht direkt das, was es ganz klar ist: ein Diebstahl im Wert von mehreren Millionen Dollar mit einer Prise Erpressung.

– Tay 💖 (@tayvano_) 19. Juni 2024

Wie Meir Dolev, Chief Technology Officer von Cyvers, auf seinem X-Konto feststellte, kam es unter einer mit CertiK verbundenen Adresse schon Wochen vor der ersten Meldung des Kraken-Vorfalls zu verdächtigen Aktivitäten in mehreren Blockchain-Netzwerken, was Fragen zum von CertiK angegebenen Zeitrahmen aufwirft.

Nach dem @krakenfx-Vorfall begannen vor 26 Tagen ähnliche Aktivitäten auf der Basis!! Derselbe Signatur-Hash wurde vor 14 Tagen auch auf Polygon verwendet. Sollen wir also Cetiks Zeitleiste glauben, dass sie die Schwachstelle erst am 5. Juni entdeckt haben?@tayvano_ pic.twitter.com/cvAnVrTg67

— Meir Dolev (@Meir_Dv) 19. Juni 2024

In einem Folgebeitrag unter CertiKs Thread wies Coinbase-Direktor Conor Grogan darauf hin, dass mit CertiK verbundene Adressen einen Teil der abgehobenen Kryptowährungen an Tornado Cash schickten, einen Mischdienst, der vom Office of Foreign Assets Control (OFAC) des US-Finanzministeriums sanktioniert wurde, weil er seit 2019 Kryptowäsche im Wert von etwa 7 Milliarden US-Dollar ermöglicht hat.

Berichten zufolge sollen mit CertiK verbundene Adressen Teile der abgehobenen Kryptowährungen an ChangeNOW, eine nicht verwahrte Kryptobörse, gesendet haben. Bis Redaktionsschluss hat CertiK keine öffentlichen Erklärungen dazu abgegeben, warum es mit Tornado Cash und ChangeNOW interagiert hat, behauptet jedoch, alle abgehobenen Token an Kraken zurückgegeben zu haben.

Weiterlesen: Telegram widerlegt CertiKs Behauptung zum Sicherheitsrisiko beim automatischen Download