Die zentralen Thesen
Die führende Kryptowährungsbörse Kraken hat aufgedeckt, dass „Sicherheitsforscher“, die eine Schwachstelle auf ihrer Plattform gefunden haben, sich weigern, aus ihrer Staatskasse entnommene digitale Vermögenswerte im Wert von 3 Millionen US-Dollar zurückzugeben.
In einer Reihe von X-Beiträgen erklärte Nick Percoco, Chief Security Officer von Kraken, wie sich das Ereignis abspielte.
White-Hat-Hacker nehmen 3 Millionen US-Dollar aus Krakens Schatzkammer ab, nachdem sie einen Fehler gemeldet haben
Am 9. Juni erhielt die Krypto-Börse einen anonymen Hinweis von einem Blockchain-Sicherheitsforscher über einen Fehler in ihrem System, der es Benutzern ermöglichen würde, ihr Guthaben künstlich aufzublähen. Dieser Fehler ermöglicht es einem böswilligen Angreifer „unter den richtigen Umständen“, eine Einzahlung an der Börse zu veranlassen und Geld auf sein Konto zu erhalten, ohne die Transaktion vollständig abzuschließen.
Sobald der Fehler gemeldet wurde, entdeckte und behob das Sicherheitsteam von Kraken das Problem. Perococo stellte fest, dass keine Benutzergelder betroffen waren. Doch was danach kam, versetzte das Team der Börse in Erstaunen.
Nachdem der Sicherheitsforscher den Fehler entdeckt hatte, gab er die Informationen offenbar an zwei Mitarbeiter weiter. Es stellte sich heraus, dass der Forscher, anstatt zunächst einen Bug-Bounty-Bericht bei Kraken einzureichen, den Fehler nutzte, um seinem Kraken-Konto Kryptowährungen gutzuschreiben, und dann mit seinen Kollegen zusammenarbeitete, um etwa 3 Millionen US-Dollar in Kryptowährungen aus der Kasse der Börse abzuheben.
Im ersten eingereichten Fehlerbericht wurden die von den beiden anderen Personen getätigten Transaktionen nicht erwähnt, aber als Kraken sie um weitere Einzelheiten und die Rückgabe der Gelder bat, weigerten sie sich.
Perococo sagte, die Sicherheitsforscher hätten Kraken stattdessen aufgefordert, ihnen eine spekulierte Summe für den potenziellen Schaden zu zahlen, den der Fehler hätte verursachen können, wenn sie ihn nicht entdeckt hätten.
Kraken weigert sich, Sicherheitsforschern Kopfgeld für Regelverstöße zu zahlen
Der Sicherheitschef von Kraken verurteilte diese Aktionen als unethisch und kriminell und erklärte, dass ein Sicherheitsforscher die „Lizenz zum Hacken“ eines Unternehmens erhalte, wenn er die Regeln des Bug-Bounty-Programms befolge, an dem er teilnehme.
„Wenn Sie diese Regeln ignorieren und das Unternehmen erpressen, werden Sie und Ihr Unternehmen zu Kriminellen“, schrieb Perococo.
Bug-Bounty-Programme werden von vielen Kryptofirmen eingesetzt, um die Robustheit ihrer Sicherheitssysteme zu testen und gleichzeitig Anreize für diejenigen zu schaffen, die in gutem Glauben handeln. Sie laden externe Hacker, sogenannte „White Hats“, ein, Schwachstellen zu finden, damit diese behoben werden können, bevor ein böswilliger Akteur sie ausnutzt.
Um ein Kopfgeld von Kraken zu erhalten, muss der White Hat zunächst das Problem entdecken, den zum Nachweis des Fehlers erforderlichen Mindestbetrag ausnutzen, die Vermögenswerte zurückgeben und einen vollständigen Bericht über die Schwachstelle vorlegen.
Kraken sagte in einem Blogbeitrag, dass es sich geweigert habe, den Forschern ihr Kopfgeld auszuzahlen, weil sie sich nicht an die Regeln gehalten hätten.
Das Blockchain-Sicherheitsunternehmen Certik vermutet, dass es hinter dem Exploit steckt
Auch wenn der Name des White Hats nicht bekannt gegeben wurde, wird allgemein angenommen, dass es sich um das Blockchain-Sicherheitstechnologieunternehmen Certik handelt.
Certik hatte zuvor auf seinen Social-Media-Kanälen gepostet, dass es bei der Durchführung „mehrtägiger Tests“ mehrere Schwachstellen in Kraken gefunden habe. Sie warnten, dass der Fehler ausgenutzt werden könnte, um Kryptowährungen im Wert von mehreren Millionen Dollar zu erstellen.
Der On-Chain-Sicherheitsforscher schrieb, dass Millionenbeträge auf das Konto jedes Kraken-Benutzers eingezahlt werden können und eine riesige Menge an „fabrizierten Kryptos“ im Wert von über einer Million Dollar von diesem Konto abgehoben und in „gültige Kryptos“ umgewandelt werden kann. Certik äußerte ernsthafte Bedenken, dass der Fehler während des Testzeitraums keine Warnung in den Systemen von Kraken auslöste.
Certik berichtete jedoch, dass die Dinge nach ersten Gesprächen mit Kraken schief gingen. In einem Beitrag auf
Kraken betrachtet den Vorfall nun als Verbrechen und arbeitet mit den Strafverfolgungsbehörden zusammen, um die verlorenen Gelder zurückzubekommen. „Wir sind von dieser Erfahrung enttäuscht“, sagte ein Sprecher des Unternehmens gegenüber den Medien.
Mehr Nachrichten: Bitcoin fällt unter 65.000 US-Dollar, da der Kryptomarkt zusammenbricht
