Kraken deckt Sicherheitslücke auf, die es skrupellosen „Sicherheitsforschern“ ermöglichte, 3 Millionen Dollar zu erbeuten

Die US-amerikanische Kryptobörse Kraken verlor fast drei Millionen US-Dollar, nachdem ein nicht namentlich genanntes Sicherheitsunternehmen eine Sicherheitslücke auf ihrer Plattform ausgenutzt hatte. Der Sicherheitschef Nick Percoco gab dies in einem Beitrag auf X bekannt und erklärte, dass das Sicherheitsunternehmen sich weigere, die Gelder zurückzuzahlen und nun eine höhere Belohnung fordere.

Lesen Sie auch: Kryptobörse DMM Bitcoin verspricht Rückzahlung nach Hackerangriff in Höhe von 300 Millionen US-Dollar

Kraken hat den Fall an die Strafverfolgungsbehörden weitergeleitet und wird ihn als Straftat behandeln. Nutzer müssen sich jedoch keine Sorgen machen, da die Kryptobörse angibt, die Sicherheitslücke bereits behoben zu haben und kein Nutzerkonto betroffen ist.

Kraken-Bug ermöglicht Gelddrucken

Laut Percoco meldete ein Sicherheitsforscher Kraken am 9. Juni über das Bug-Bounty-Programm einen kritischen Fehler. Interne Untersuchungen des Sicherheitsteams der Kryptobörse ergaben eine Schwachstelle, die es Angreifern ermöglicht, eine Einzahlung auf ihr Kraken-Konto zu initiieren und die Gelder zu erhalten, ohne die Einzahlung abzuschließen. Durch diese Sicherheitslücke könnte ein Angreifer Millionenbeträge aus dem Nichts generieren.

Er erklärte:

„Wir haben einen isolierten Fehler entdeckt. Dieser ermöglichte es einem Angreifer mit böswilliger Absicht, unter bestimmten Umständen eine Einzahlung auf unserer Plattform zu initiieren und die Gelder auf seinem Konto zu erhalten, ohne die Einzahlung vollständig abzuschließen.“

Das interne Sicherheitsteam konnte das Problem innerhalb von 47 Minuten eindämmen und nach wenigen Stunden vollständig beheben. Das Unternehmen stellte jedoch fest, dass der Fehler auf eine kürzlich vorgenommene Änderung der Benutzeroberfläche zurückzuführen war, die es ermöglichte, Kundenkonten gutzuschreiben, bevor die entsprechenden Vermögenswerte freigegeben wurden. Obwohl die Änderung eingeführt wurde, um sofortigen Handel zu ermöglichen, war sie hinsichtlich dieses Risikos nicht ausreichend getestet worden.

Percoco fügte jedoch hinzu, dass derdent keine Auswirkungen auf das Vermögen der Nutzer hatte und die Ausnutzung der Sicherheitslücke nur den Kraken-Treasury betraf.

Die Sicherheitsforscher sind Kriminelle

Eine Analyse der Sicherheitslücke ergab, dass drei Accounts die Schwachstelle ausnutzten, und einer dieser Accounts war unter dem Namen des Sicherheitsforschers registriert, der die Börse ursprünglich kontaktiert hatte.

Lesen Sie auch: Kraken erwägt Delisting von USDT als Reaktion auf neue EU-Vorschriften.

Während der Forscher mit seinem Konto die Sicherheitslücke lediglich nutzte, um sich 4 US-Dollar gutzuschreiben – genug, um die Existenz des Fehlers zu beweisen –, hoben die beiden anderen Konten mithilfe desselben Exploits fast 3 Millionen US-Dollar von ihren Kraken-Konten ab. Interessanterweise waren diese Konten mit Mitarbeitern des Sicherheitsforschers verbunden.

Kraken erklärte, dass seine Versuche, die Gelder zurückzuerhalten, vergeblich gewesen seien, da die Forscher nun eine höhere Zahlung verlangten, die ihrer Ansicht nach dem Risiko des Fehlers angemessen sei.

Percoco bezeichnete dies als Erpressung, die dem Prinzip des Bug-Bounty-Programms widerspricht. Er fügte hinzu, dass die Verletzung jener Regeln, die ethischen Hackern die Lizenz zum Hacken geben, die Sicherheitsforscher zu Kriminellen mache, und dass die Börse sie auch so behandle.