Kraken erhält nach Bug-Bounty-Exploit 3 Millionen US-Dollar an fehlenden Geldern zurück

Die Kryptowährungsbörse Kraken hat nach einem spektakulären Bug-Bounty-Exploit von CertiK erfolgreich digitale Vermögenswerte im Wert von fast 3 Millionen US-Dollar wiederhergestellt. Nicholas Percoco, Chief Security Officer von Kraken, bestätigte die Wiederherstellung in einem Post vom 20. Juni auf X mit der Aussage: „Update: Wir können nun bestätigen, dass die Gelder zurückgegeben wurden (abzüglich eines kleinen Betrags, der durch Gebühren verloren ging).“ Diese Ankündigung erfolgte, nachdem Percoco das Verschwinden der Gelder am 19. Juni erstmals bekannt gegeben und den Vorfall einem „Sicherheitsforscher“ zugeschrieben hatte, der einen Bug ausgenutzt hatte.

Kraken behauptete, der Sicherheitsforscher habe die Börse erpresst und sich geweigert, die Gelder ohne Belohnung zurückzugeben. Das Blockchain-Sicherheitsunternehmen CertiK identifizierte sich bald als der an dem Vorfall beteiligte „Sicherheitsforscher“. In einem X-Post vom 19. Juni erläuterte CertiK, dass es Kraken über einen Exploit informiert habe, der die Abhebung von Millionen von den Konten der Börse ermöglichte. CertiK behauptete weiter, Kraken habe seinen Mitarbeitern gedroht, den nicht übereinstimmenden Kryptobetrag innerhalb eines unangemessenen Zeitrahmens zurückzuzahlen, ohne Rückzahlungsadressen anzugeben.

Die Saga wirft Fragen über die Notwendigkeit der Auszahlung von fast 3 Millionen Dollar auf. Percoco stellte zunächst fest, dass eine Überweisung von lediglich 4 Dollar ausgereicht hätte, um den Fehler nachzuweisen und sich für eine beträchtliche Belohnung aus Krakens Kopfgeldprogramm zu qualifizieren. CertiK verteidigte sein Vorgehen jedoch und erklärte, dass die große Summe Teil eines Versuchs war, die Grenzen der Sicherheits- und Risikokontrollen von Kraken zu testen. „Wir wollen die Grenzen der Schutz- und Risikokontrollen von Kraken testen. Nach mehreren Tests über mehrere Tage und Kryptowährungen im Wert von fast 3 Millionen Dollar wurden keine Warnungen ausgelöst und wir haben die Grenze immer noch nicht herausgefunden“, erklärte CertiK.

CertiK stellte außerdem klar, dass es zunächst keine Kopfgeldforderung gestellt habe; stattdessen habe Kraken die Kopfgeldforderung zuerst erwähnt. „Wir haben nie eine Kopfgeldforderung gestellt. Kraken hat uns zuerst die Kopfgeldforderung genannt, während wir antworteten, dass die Kopfgeldforderung nicht das vorrangige Thema sei und wir sicherstellen wollten, dass das Problem behoben wird“, erläuterte CertiK. Sie fügten hinzu, dass keine Kraken-Benutzergelder gefährdet seien, da die ausgebeuteten Gelder „aus dem Nichts geschaffen“ worden seien.