Das Blockchain-Sicherheitsunternehmen CertiK hat sich als der Sicherheitsforscher identifiziert, der laut Kraken digitale Vermögenswerte im Wert von fast 3 Millionen US-Dollar gestohlen hat.

Kraken wurde vor weniger als zwei Wochen Opfer eines Virenangriffs und verlor fast 3 Millionen US-Dollar. Damals erklärte die Kryptowährungsbörse, sie behandele den Vorfall als Strafsache und werde sich mit den Strafverfolgungsbehörden abstimmen.

Der Krakenangriff 

Am 9. Juni gab die Kryptowährungsbörse Kraken bekannt, dass sie Opfer eines Exploits geworden sei, durch den die Plattform Vermögenswerte im Wert von 3 Millionen US-Dollar verlor. Laut einem Bericht von Nicholas Percoco, dem Chief Security Officer von Kraken, erhielt die Plattform eine Warnung im Rahmen eines Bug-Bounty-Programms von einem Sicherheitsforscher, der behauptete, einen äußerst kritischen Fehler gefunden zu haben, der es ihnen ermöglichte, ihr Guthaben bei Kraken künstlich aufzublähen.

„Am 9. Juni 2024 erhielten wir von einem Sicherheitsforscher eine Warnung zum Bug-Bounty-Programm. Zunächst wurden keine Einzelheiten bekannt gegeben, aber in ihrer E-Mail behaupteten sie, einen „extrem kritischen“ Fehler gefunden zu haben, der es ihnen ermöglichte, ihr Guthaben auf unserer Plattform künstlich aufzublähen.“

Percoco gab an, dass sie bei weiteren Untersuchungen einen isolierten Fehler entdeckt hätten, der dem Angreifer erhebliche Privilegien gewährte, sodass er eine Einzahlung bei Kraken veranlassen und Geld auf sein Konto erhalten konnte, ohne die Einzahlung abzuschließen. Die Sicherheitslücke, die nach einer kürzlichen UX-Änderung bei Kraken entstand, ermöglichte es dem Angreifer, „Vermögenswerte“ auf seinem Kraken-Konto zu „drucken“. Kraken gab an, dass die Schwachstelle gepatcht wurde und keine Kundengelder kompromittiert wurden. Kraken behauptete, eine weitere Untersuchung habe ergeben, dass der Sicherheitsforscher den Fehler an zwei Kollegen weitergegeben habe, die ihn ausgenutzt hätten, um auf betrügerische Weise erhebliche Geldbeträge zu erlangen.

CertiK identifiziert sich als Sicherheitsforscher

Nun hat sich das Blockchain-Sicherheitsunternehmen CertiK als der Sicherheitsforscher identifiziert, der laut Kraken digitale Vermögenswerte im Wert von 3 Millionen US-Dollar gestohlen hat. In einem Post auf X gab CertiK an, Kraken über einen Exploit informiert zu haben, der es ermöglichte, Millionen von den Konten der Börse abzuheben.

„CertiK hat kürzlich eine Reihe kritischer Schwachstellen in der Börse @krakenfx identifiziert, die möglicherweise zu Verlusten in Höhe von Hunderten Millionen Dollar führen könnten. Nach der Entdeckung haben wir Kraken informiert, dessen Sicherheitsteam die Schwachstellen als kritisch eingestuft hat: die schwerwiegendste Klassifizierungsstufe bei Kraken.“

Das Blockchain-Sicherheitsunternehmen behauptete, das Sicherheitsteam von Kraken habe Mitarbeiter von CertiK bedroht.

„Nach anfänglichen erfolgreichen Konversionen zur Identifizierung und Behebung der Schwachstelle hat das Sicherheitsteam von Kraken einzelnen CertiK-Mitarbeitern gedroht, einen FALSCH passenden Betrag an Kryptowährungen in einer UNANGEMESSEN Zeit zurückzuzahlen, sogar OHNE die Angabe von Rückzahlungsadressen. Im Sinne der Transparenz und unseres Engagements für die Web3-Community gehen wir an die Öffentlichkeit, um die Sicherheit aller Benutzer zu schützen. Wir fordern [Kraken] auf, jegliche Drohungen gegen White-Hat-Hacker einzustellen.“

CertiK veröffentlichte außerdem eine Zeitleiste der Ereignisse, beginnend mit der Identifizierung des Exploits am 5. Juni und endend mit der Bedrohung der CertiK-Mitarbeiter durch Kraken am 18. Juni. Das Sicherheitsunternehmen fügte hinzu, dass es die Gelder auch auf ein Konto überweisen werde, auf das Kraken Zugriff habe.

Krypto-Community unterstützt Kraken 

Die Reaktionen vieler Mitglieder der Krypto-Community schienen Kraken zu begünstigen. Sie behaupteten, dass die Aktionen von CertiK nicht mit dem Verhalten von White-Hat-Hackern übereinstimmten. Es ist jedoch unklar, ob Kraken rechtliche Schritte plant oder Gründe dafür hat.

„Certik hat gerade zugegeben, dass es sich bei der Sicherheitsfirma um Kraken handelt, die gestohlen hat, und versucht, sie zu einer höheren Zahlung zu erpressen. Wenn man bedenkt, wie oft Certik-Audits gehackt werden und jetzt das, ist es verrückt, dass es sie noch gibt. Einfach kriminell.“

CertiK hat zuvor erhebliche Schwachstellen in der Wormhole Bridge und der Telegram-App festgestellt. Das Unternehmen hatte berichtet, dass im Jahr 2023 digitale Vermögenswerte im Wert von rund 1 Milliarde US-Dollar durch illegale Aktivitäten verloren gingen.

Haftungsausschluss: Dieser Artikel dient ausschließlich zu Informationszwecken. Er ist nicht als Rechts-, Steuer-, Anlage-, Finanz- oder sonstige Beratung gedacht und wird auch nicht als solche angeboten.