Crypto hack: CertiK discovers a bug on the Kraken exchange and exploits it to withdraw 3 million ...

The Cryptonomist · 2024-06-20T11:55:39.000Z

In this article we talk about an incredible story: a few days ago the auditing company Certik identified a flaw in the security systems of the crypto exchange Kraken that could lead to a serious hack. After conducting some tests for 3 days and executing a “white hack” attack worth 3 million dollars, Certik contacted Kraken to inform it of the bug, but initially refused to immediately return the stolen amount. The exchange in crypto immediately contacted law enforcement treating the situation as a criminal case, while the cryptographic security firm insists that it is a typical test of a “bounty program.” Now the funds seem to have been returned. Let’s see everything in detail below. The 3 million dollar hack against the crypto exchange Kraken: Certik is responsible, but refuses to return the money This story begins on June 9, 2024, when the crypto exchange Kraken receives an informal communication from a “security researcher” who claims to have discovered a vulnerability on the platform that could have caused a large-scale hack. As reported in a post-mortem tweet by Nick Percoco, Chief Security Officer of Kraken, the researcher had highlighted a flaw in the security systems of the deposits (unable to distinguish different states of internal transfer), which allows users to inflate their balance and withdraw more coins than they actually have available. The exchange immediately took action to resolve the issue, and in just 47 minutes a team of experts managed to fix the bug. Here is what Percoco reported: “the bug allowed a malicious attacker, under the right circumstances, to initiate a deposit on our platform and receive funds into their account without fully completing the deposit. To be clear, no customer assets were ever at risk” Kraken Security Update: On June 9 2024, we received a Bug Bounty program alert from a security researcher. No specifics were initially disclosed, but their email claimed to find an “extremely critical” bug that allowed them to artificially inflate their balance on our platform. — Nick Percoco (@c7five) June 19, 2024 So far everything is normal, except that the same security company web3 where the researcher who contacted Kraken works, before officially reporting the bug, would have carried out several hacks on the platform for a total of 3 million dollars. Immediately after the publication of Percoco’s post, the well-known auditing firm Certik immediately took responsibility for the incident and revealed its crucial role in the matter. Certik allegedly “tested” Kraken’s defense mechanisms by carrying out a large-scale attack, and withdrawing large quantities of MATIC tokens from 3 different accounts, then cleaning the traces of the funds through the Tornado Cash mixer. As explained by the security manager of the exchange, after fixing the problem, Kraken asked Certik to return the funds, but she initially refused. Despite this, Certik insists that its activity is in line with the principles of “white hack”. Apparently Certik did not mention the role of the 3 account exploiter in the incident, despite having performed the withdrawal tests in the 3 days prior to the communications with Kraken. The security researcher who spotted the bug, would have asked for a substantial bounty for having identified a major flaw that could have imploded into a heavy hack, but Kraken insisted on getting their funds back. Since the auditing company refused to return the loot, and indeed seemed to have moved to hide the evidence of the hack, the exchange decided to treat the situation as if it were a criminal case by notifying the competent authorities and law enforcement. The web3 security company had asked the exchange for a bounty reward equal to the amount speculated that this bug could have caused if it had not been disclosed, infuriating the exchange platform team. Percoco commented on his X profile about what happened, showing all his opposition towards Certik’s behavior: “This is not white hacking, this is extortion”. We’ll not disclose this research company because they don’t deserve recognition for their actions. We are treating this as a criminal case and are coordinating with law enforcement agencies accordingly. We’re thankful this issue was reported, but that’s where that thought ends. — Nick Percoco (@c7five) June 19, 2024 The denial by Certik: funds returned despite some employees having received threats from the Kraken team Certik, after introducing itself as the company responsible for identifying the flaw in the deposit systems, immediately denied what Kraken reported, highlighting its “white hack” role and its positive intentions. The company revealed that it had set up a large-scale hack, for an amount of 3 million dollars, solely for the purpose of testing the exchange’s defense, but it also emphasized that it never refused to return the loot but rather wanted to ensure that everything was executed correctly. Certik said she was amazed by the potential negative impact that the bug could have caused, but especially by the fact that Kraken’s alarms were never triggered. This was stated in a post: “Millions of dollars can be deposited into ANY Kraken account. A huge amount of crypto (worth over 1M+ USD) can be withdrawn from the account and converted into valid cryptos. Worse still, during the multi-day testing period, no alerts were triggered”. Furthermore, the auditing firm explained that a member of the exchange team had threatened their own researcher to return the amount within an unreasonable time frame (6 hours) without, however, providing a repayment address. This took place after, days after the hack, the two companies had a call to try to find a solution and resolve the matter. CertiK recently identified a series of critical vulnerabilities in @krakenfx exchange which could potentially lead to hundreds of millions of dollars in losses. Starting from a finding in @krakenfx's deposit system where it may fail to differentiate between different internal… pic.twitter.com/JZkMXj2ZCD — CertiK (@CertiK) June 19, 2024 Apparently, what triggered the chaos was the amount of the bounty reward proposed by Kraken, which was not considered appropriate to the effort made and the potential exploit prevented. As reported by a spokesperson for Kraken to Coindesk: “We involved these researchers in good faith and, in line with a decade of managing a bug bounty program, we had offered a considerable bounty for their efforts. We are disappointed by this experience and are now working with law enforcement to recover the assets from these security researchers”. Today Certik published another post with some FAQs to further clarify their position and remove any doubt. The security company reiterates that it has “consistently” confirmed that it would return the stolen amount, and states that now all the funds are back in Kraken’s hands. These funds were sent back to the sender in 734.19215 ETH, 29,001 USDT, and 1021.1 XMR, while the exchange had expressly requested to send 155818.4468 MATIC, 907400.1803 USDT, 475.5557871 ETH, and 1089.794737 XMR, for a total equivalent value greater by about 100,000 dollars. Q&A to recent CertiK-Kraken whitehat operations: 1. Did any real user lose fund？ No. Cryptos were minted out of air, and no real Kraken user’s assets were directly involved in our research activities. 2. Have we refused to return the funds? No. In our communication with… — CertiK (@CertiK) June 20, 2024 Kraken remains firm on its concept of ethics of “white hacking” and maintains that the bullying carried out by Certik can be identified as extortion. The Bounty program of the exchange indeed requires third parties to find the problem, exploit the minimum amount necessary to test the bug (without executing a 3 million dollar hack), return the resources, and provide details on the vulnerability.

In diesem Artikel erzählen wir von einer unglaublichen Geschichte: Vor wenigen Tagen stellte das Wirtschaftsprüfungsunternehmen Certik eine Schwachstelle in den Sicherheitssystemen der Kryptobörse Kraken fest, die zu einem schwerwiegenden Hackerangriff führen könnte.
Nachdem Certik drei Tage lang einige Tests durchgeführt und einen „White Hack“-Angriff im Wert von 3 Millionen Dollar ausgeführt hatte, nahm das Unternehmen Kontakt zu Kraken auf, um es über den Fehler zu informieren, weigerte sich jedoch zunächst, den gestohlenen Betrag sofort zurückzugeben.
Die Kryptobörse kontaktierte sofort die Strafverfolgungsbehörden und behandelte die Situation als Kriminalfall, während das Kryptosicherheitsunternehmen darauf beharrte, dass es sich um einen typischen Test eines „Kopfgeldprogramms“ handele. Nun scheinen die Gelder zurückgegeben worden zu sein.
Sehen wir uns unten alles im Detail an.
Der 3-Millionen-Dollar-Hack gegen die Krypto-Börse Kraken: Certik ist verantwortlich, weigert sich aber, das Geld zurückzugeben
Diese Geschichte beginnt am 9. Juni 2024, als die Kryptobörse Kraken eine informelle Nachricht von einem „Sicherheitsforscher“ erhält, der behauptet, eine Schwachstelle auf der Plattform entdeckt zu haben, die einen groß angelegten Hack hätte verursachen können.
Wie Nick Percoco, Chief Security Officer von Kraken, in einem Post-Mortem-Tweet berichtete, hatte der Forscher einen Fehler in den Sicherheitssystemen der Einlagen (die nicht zwischen verschiedenen Zuständen interner Überweisungen unterscheiden können) aufgezeigt, der es Benutzern ermöglicht, ihr Guthaben aufzublähen und mehr Münzen abzuheben, als sie tatsächlich zur Verfügung haben. Die Börse ergriff sofort Maßnahmen, um das Problem zu beheben, und in nur 47 Minuten gelang es einem Expertenteam, den Fehler zu beheben.
Folgendes hat Percoco berichtet:
„Der Fehler ermöglichte es einem böswilligen Angreifer unter den richtigen Umständen, eine Einzahlung auf unserer Plattform zu veranlassen und Geld auf sein Konto zu erhalten, ohne die Einzahlung vollständig abzuschließen. Um es klarzustellen: Es waren nie Kundenvermögen gefährdet.“
Kraken-Sicherheitsupdate:

Am 9. Juni 2024 erhielten wir von einem Sicherheitsforscher eine Warnung im Rahmen des Bug-Bounty-Programms. Zunächst wurden keine Einzelheiten bekannt gegeben, aber in der E-Mail hieß es, man habe einen „extrem kritischen“ Fehler gefunden, der es ihnen ermöglichte, ihr Guthaben auf unserer Plattform künstlich aufzublähen.
– Nick Percoco (@c7five), 19. Juni 2024
Bisher ist alles normal, außer dass dasselbe Sicherheitsunternehmen web3, bei dem der Forscher arbeitet, der Kraken kontaktiert hat, vor der offiziellen Meldung des Fehlers mehrere Hacks auf der Plattform im Gesamtwert von 3 Millionen Dollar durchgeführt haben soll.
Unmittelbar nach der Veröffentlichung von Percocos Beitrag übernahm die renommierte Wirtschaftsprüfungsgesellschaft Certik sofort die Verantwortung für den Vorfall und gab ihre entscheidende Rolle in der Angelegenheit bekannt.
Certik hat angeblich die Abwehrmechanismen von Kraken „getestet“, indem er einen groß angelegten Angriff durchführte und große Mengen an MATIC-Token von drei verschiedenen Konten abzog und dann die Spuren der Gelder über den Tornado Cash-Mixer bereinigte.
 Wie der Sicherheitsmanager der Börse erklärte, forderte Kraken Certik nach Behebung des Problems auf, die Gelder zurückzugeben, was sie jedoch zunächst ablehnte.
Trotzdem besteht Certik darauf, dass seine Tätigkeit den Grundsätzen des „White Hack“ entspricht.
Anscheinend erwähnte Certik die Rolle der drei Kontoausbeuter bei dem Vorfall nicht, obwohl er in den drei Tagen vor der Kommunikation mit Kraken die Auszahlungstests durchgeführt hatte.
Der Sicherheitsforscher, der den Fehler entdeckt hatte, hätte eine beträchtliche Belohnung für die Entdeckung einer schwerwiegenden Schwachstelle verlangt, die zu einem schweren Hack hätte führen können, doch Kraken bestand darauf, sein Geld zurückzubekommen.
Da sich das Wirtschaftsprüfungsunternehmen weigerte, die Beute herauszugeben und tatsächlich versucht zu haben, die Beweise für den Hackerangriff zu vernichten, beschloss die Börse, den Fall wie ein Strafverfahren zu behandeln und die zuständigen Behörden und Strafverfolgungsbehörden zu benachrichtigen.
Das Sicherheitsunternehmen web3 hatte von der Börse eine Belohnung in Höhe des Betrags verlangt, den dieser Fehler vermutlich verursacht hätte, wenn er nicht bekannt geworden wäre, was das Team der Börsenplattform wütend machte.
Percoco kommentierte den Vorfall auf seinem X-Profil und brachte dabei seine ganze Opposition gegenüber Certiks Verhalten zum Ausdruck:
„Das ist kein Whitehacking, das ist Erpressung.“
Wir werden dieses Forschungsunternehmen nicht offenlegen, da es für seine Handlungen keine Anerkennung verdient. Wir behandeln dies als Strafsache und stimmen uns entsprechend mit den Strafverfolgungsbehörden ab. Wir sind dankbar, dass dieses Problem gemeldet wurde, aber damit endet dieser Gedanke.
– Nick Percoco (@c7five), 19. Juni 2024
Das Dementi von Certik: Gelder wurden zurückgegeben, obwohl einige Mitarbeiter Drohungen vom Kraken-Team erhalten hatten
Certik stellte sich als das Unternehmen vor, das für die Identifizierung der Schwachstelle im Einzahlungssystem verantwortlich war, dementierte die Meldung von Kraken jedoch umgehend und betonte dessen Rolle als „White Hack“ sowie seine positiven Absichten.
Das Unternehmen gab bekannt, dass es einen groß angelegten Hackerangriff im Wert von 3 Millionen Dollar ausschließlich zu dem Zweck durchgeführt habe, die Abwehr der Börse zu testen. Es betonte jedoch auch, dass es sich nie geweigert habe, die Beute zurückzugeben, sondern lediglich sicherstellen wollte, dass alles korrekt ausgeführt wurde.
Certik sagte, sie sei erstaunt über die möglichen negativen Auswirkungen, die der Fehler hätte haben können, aber vor allem über die Tatsache, dass Krakens Alarme nie ausgelöst wurden. In einem Beitrag hieß es dazu:
„Millionen von Dollar können auf JEDES Kraken-Konto eingezahlt werden. Eine riesige Menge an Kryptowährungen (im Wert von über 1 Mio. USD) kann vom Konto abgehoben und in gültige Kryptowährungen umgewandelt werden. Schlimmer noch, während des mehrtägigen Testzeitraums wurden keine Warnungen ausgelöst.“
Darüber hinaus erläuterte die Wirtschaftsprüfungsgesellschaft, dass ein Mitglied des Exchange-Teams dem eigenen Forscher gedroht hatte, den Betrag innerhalb einer unangemessenen Frist (6 Stunden) zurückzuerstatten, ohne jedoch eine Rückzahlungsadresse anzugeben.
Dies geschah, nachdem die beiden Unternehmen einige Tage nach dem Hackerangriff miteinander telefoniert hatten, um eine Lösung zu finden und die Angelegenheit zu klären.
CertiK hat kürzlich eine Reihe kritischer Schwachstellen in der Börse @krakenfx identifiziert, die möglicherweise zu Verlusten in Höhe von Hunderten Millionen Dollar führen könnten.

Ausgehend von einer Feststellung im Einzahlungssystem von @krakenfx, wo möglicherweise nicht zwischen verschiedenen internen… unterschieden wird. pic.twitter.com/JZkMXj2ZCD
– CertiK (@CertiK), 19. Juni 2024
Auslöser des Chaos war offenbar die Höhe der von Kraken vorgeschlagenen Kopfgeldprämie, die als in keinem Verhältnis zum unternommenen Aufwand und dem verhinderten potenziellen Exploit stand. Ein Sprecher von Kraken berichtete Coindesk:
„Wir haben diese Forscher in gutem Glauben einbezogen und im Einklang mit einem Jahrzehnt der Leitung eines Bug-Bounty-Programms eine beträchtliche Belohnung für ihre Bemühungen ausgesetzt. Wir sind von dieser Erfahrung enttäuscht und arbeiten nun mit den Strafverfolgungsbehörden zusammen, um die Vermögenswerte dieser Sicherheitsforscher zurückzuerhalten.“
Heute hat Certik einen weiteren Beitrag mit einigen häufig gestellten Fragen veröffentlicht, um seine Position weiter zu verdeutlichen und etwaige Zweifel auszuräumen.
Das Sicherheitsunternehmen bekräftigt, dass es „konsequent“ bestätigt habe, den gestohlenen Betrag zurückzugeben, und gibt an, dass sich nun alle Gelder wieder in den Händen von Kraken befänden.
Diese Gelder wurden in 734,19215 ETH, 29.001 USDT und 1021,1 XMR an den Absender zurückgesendet, während die Börse ausdrücklich darum gebeten hatte, 155818,4468 MATIC, 907400,1803 USDT, 475,5557871 ETH und 1089,794737 XMR zu senden, was einem Gesamtgegenwert von etwa 100.000 Dollar mehr entspricht.
Fragen und Antworten zu den jüngsten Whitehat-Operationen von CertiK-Kraken:

1. Hat ein echter Benutzer Geld verloren?
Nein. Kryptowährungen wurden aus dem Nichts geschaffen und unsere Forschungsaktivitäten waren nicht direkt mit den Vermögenswerten echter Kraken-Benutzer verbunden.

2. Haben wir die Rückzahlung verweigert?
Nein. In unserer Kommunikation mit…
– CertiK (@CertiK), 20. Juni 2024
Kraken bleibt seinem ethischen Konzept des „White Hacking“ treu und ist der Ansicht, dass das von Certik ausgeübte Mobbing als Erpressung einzustufen sei.
Das Bounty-Programm der Börse verlangt tatsächlich von Dritten, das Problem zu finden, den zum Testen des Fehlers erforderlichen Mindestbetrag aufzuwenden (ohne einen 3-Millionen-Dollar-Hack auszuführen), die Ressourcen zurückzugeben und Einzelheiten zur Sicherheitslücke bereitzustellen.

Weitere Inhalte des Erstellers entdecken

Aktuelle Nachrichten