Kraken argumentiert, dass CertiK übertrieben gewesen sei – das Cybersicherheitsunternehmen beharrt jedoch darauf, dass groß angelegte Abhebungen notwendig gewesen seien, um das Ausmaß des Problems festzustellen.

Letzte Woche gab Kraken bekannt, dass Sicherheitsforscher aufgrund eines kritischen Fehlers ihr Guthaben künstlich aufblähen und fast 3 Millionen US-Dollar abheben konnten.

Kraken-Sicherheitsupdate: Am 9. Juni 2024 erhielten wir von einem Sicherheitsforscher eine Warnung zum Bug-Bounty-Programm. Zunächst wurden keine Einzelheiten bekannt gegeben, aber in der E-Mail hieß es, ein „extrem kritischer“ Fehler gefunden zu haben, der es ihnen ermöglichte, ihr Guthaben auf unserer Plattform künstlich aufzublähen.

– Nick Percoco (@c7five), 19. Juni 2024

Doch der ganze Vorfall hatte etwas unglaublich Ungewöhnliches an sich und löste schließlich einen Wortstreit zwischen der Kryptobörse und einem großen Cybersicherheitsunternehmen aus.

Den Auftakt machte Nick Percoco, der oberste Sicherheitsbeauftragte von Kraken, mit der Ankündigung, dass eine Schwachstelle gefunden worden sei, die es böswilligen Akteuren ermögliche, Geld auf einem Konto zu drucken.

Es dauerte 47 Minuten, das Problem zu beheben, und mehrere Stunden, um es vollständig zu beheben. Bis jetzt scheint das alles ziemlich normal und Routine zu sein.

Doch Percoco eskalierte die Situation noch weiter, indem es behauptete, der beteiligte Sicherheitsforscher habe zwei seiner Kollegen auf das Problem aufmerksam gemacht und es ihnen so ermöglicht, Firmengelder in Millionenhöhe zu erbeuten.

Er sagte, Kraken habe um Details zur Durchführung des Exploits gebeten und versucht, die vollständige Rückzahlung der Gelder zu veranlassen, behauptete jedoch, der Tausch sei abgewiesen worden.

„Stattdessen forderten sie ein Gespräch mit ihrem Geschäftsentwicklungsteam (also ihren Vertriebsmitarbeitern) und haben nicht zugestimmt, Geld zurückzuzahlen, bis wir einen geschätzten Dollarbetrag nennen, den dieser Fehler verursacht haben könnte, wenn sie ihn nicht offengelegt hätten. Das ist kein White-Hat-Hacking, das ist Erpressung!“

Nick Percoco

Percoco behauptete weiter, dass die Forscher nicht im Sinne des Bug-Bounty-Programms gearbeitet hätten, weil sie weit mehr herausgeholt hätten als nötig, keinen Proof of Concept geliefert hätten und das Geld nicht sofort zurückgezahlt hätten.

Was war hier also los? War das ein White-Hat-Hacker, der auf die dunkle Seite wechselte? Jemand, der Kraken erpresste? Eine kriminelle Angelegenheit?

Das könnte Sie auch interessieren: So kaufen Sie Münzen, bevor sie gelistet werden

CertiK macht Fortschritte

Hier nimmt die Geschichte eine ungewöhnliche Wendung. Man könnte annehmen, dass der Exploit von einem aufgeweckten Teenager orchestriert wurde, der sich irgendwo in seinem Zimmer eingesperrt hat. Tatsächlich wurde er von CertiK durchgeführt – einem der größten Auditoren im Web3-Bereich.

Nur drei Stunden nach Percocos Thread zu X trat das Unternehmen mit seiner eigenen Version der Ereignisse an die Öffentlichkeit.

CertiK hat kürzlich eine Reihe kritischer Schwachstellen in der Börse @krakenfx identifiziert, die möglicherweise zu Verlusten in Höhe von Hunderten Millionen Dollar führen könnten. Ausgehend von einem Befund im Einzahlungssystem von @krakenfx, bei dem möglicherweise nicht zwischen verschiedenen internen … unterschieden wird. pic.twitter.com/JZkMXj2ZCD

– CertiK (@CertiK), 19. Juni 2024

Es hieß, tagelange Tests hätten in den internen Systemen von Kraken keine Alarmsignale ausgelöst. Das bedeutet, dass das Sicherheitsteam der Börse erst eingriff, nachdem es über die Schwachstelle informiert worden war.

„Nach anfänglich erfolgreichen Gesprächen zur Identifizierung und Behebung der Schwachstelle hat das Sicherheitsteam von Kraken einzelnen CertiK-Mitarbeitern gedroht, einen FALSCH passenden Betrag in Kryptowährung innerhalb einer UNANGEMESSEN Zeit zurückzuzahlen, sogar OHNE die Angabe von Rückzahlungsadressen.“

CertiK

CertiK forderte Kraken weiterhin auf, „alle Drohungen gegen White-Hat-Hacker einzustellen.“

Einen Tag später folgte ein Thread, in dem Fragen zu den Forschungsergebnissen beantwortet wurden.

Fragen und Antworten zu den jüngsten Whitehat-Operationen von CertiK-Kraken: 1. Hat ein echter Benutzer Geld verloren? Nein. Kryptowährungen wurden aus dem Nichts geprägt und die Vermögenswerte echter Kraken-Benutzer waren nicht direkt an unseren Forschungsaktivitäten beteiligt. 2. Haben wir uns geweigert, die Gelder zurückzugeben? Nein. In unserer Kommunikation mit …

– CertiK (@CertiK), 20. Juni 2024

CertiK betonte nicht nur, dass kein Kraken-Kunde Geld verloren habe, sondern auch, dass man dem Unternehmen „konsequent versichert“ habe, dass das Geld zurückerstattet würde, und das sei auch der Fall. Der einzige Knackpunkt? Uneinigkeit darüber, wie viel der Umtausch tatsächlich geschuldet war.

Zur Begründung, warum man sich für die Ausnutzung dieser Schwachstelle in so großem Umfang entschieden hat, fügte das Unternehmen hinzu:

„Wir wollen die Grenzen der Schutz- und Risikokontrollen von Kraken testen. Nach mehreren Tests über mehrere Tage hinweg und Kryptowährungen im Wert von fast drei Millionen wurden keine Alarme ausgelöst und wir haben die Grenze immer noch nicht herausgefunden.“

CertiK

Zwischen den Zeilen liest man, dass CertiK von Kraken Antworten darauf wollte, wie viel ein echter Betrüger hätte erbeuten können, wenn er so weitergemacht hätte.

Das Cybersicherheitsunternehmen argumentierte weiter, dass ein Bug-Bounty-Programm auf seiner Prioritätenliste weit unten stehe – und alle mit seinen Tests in Zusammenhang stehenden Transaktionen öffentlich zugänglich seien.

Ein gewaltiger Krieg der Worte

In Bezug auf X herrschte erhebliche Uneinigkeit darüber, wer Recht und wer Unrecht hat.

Die eigentliche Frage sollte sein, warum Sie im Rahmen Ihrer Tests in einer Rolle, in der Vertrauen das wichtigste Element ist, so viel ausgenutzt haben. Nehmen Sie die Niederlage hin und hören Sie auf, ohne Rechtsberatung zu twittern.

– Siehe $LSS BULL (@crypto_seeb) 19. Juni 2024

3 Millionen Dollar sind Peanuts im Vergleich zum Ausmaß eines möglichen Insolvenz-Hacks. Double L von Kraken macht daraus ein öffentliches Thema, anstatt einfach Gott zu danken, dass Anonyme es nicht ausgenutzt haben.

– everhusk (@everhusk), 19. Juni 2024

Das Argument von CertiK läuft im Wesentlichen darauf hinaus: Das Unternehmen musste astronomisch hohe Abhebungen vornehmen, um zu testen, ob eine davon letztlich von den internen Systemen von Kraken markiert würde.

Der Streit, der oberflächlich betrachtet nun beigelegt zu sein scheint, wirft ein Schlaglicht auf die Spannungen zwischen Unternehmen aus der Kryptowelt – und den Cybersicherheitsforschern, deren Aufgabe es ist, sie in Schach zu halten.

Muss eine größere Übereinstimmung über die Einsatzregeln herrschen? Gibt es Fälle, in denen groß angelegte Angriffe von White-Hat-Hackern gerechtfertigt sind, weil dadurch später noch Schlimmeres verhindert werden könnte?

Wäre dies dem Ronin Network passiert – und hätte dabei geholfen, einen der größten Krypto-Raubüberfälle aller Zeiten zu verhindern, bei dem 625 Millionen Dollar gestohlen wurden –, würden Sie wahrscheinlich argumentieren, dass der vorübergehende Diebstahl einiger Millionen Dollar gerechtfertigt wäre.

Wie man es auch dreht und wendet, dieser Vorfall ist eine schmerzliche Erinnerung daran, dass es an den großen Börsen noch unentdeckte Fehler geben könnte, die ein Risiko für die Anleger darstellen, die diese Handelsplattformen zur Aufbewahrung ihrer Gelder nutzen.

Das könnte Sie auch interessieren: Kann die Kryptoindustrie Trump vertrauen?