Wird geladen...

Kraken enthüllt einen Fehler, der es betrügerischen „Sicherheitsforschern“ ermöglichte, 3 Millionen US-Dollar auszunutzen

In diesem Beitrag:

  • Ein kritischer Fehler in Kraken ermöglicht es böswilligen Akteuren, Geld aus dem Nichts zu drucken.
  • Sicherheitsforscher warnt Austausch vor Schwachstelle, verlangt mehr als maximales Kopfgeld.
  • Kraken sagte, die Handlungen der Forscher seien krimineller Natur und alarmierte die Behörden.

Die in den USA ansässige Börse Kraken verlor fast 3 Millionen US-Dollar an Kassen, nachdem ein namentlich nicht genanntes Sicherheitsunternehmen einen Fehler auf ihrer Plattform ausgenutzt hatte. Der Chief Security Officer, Nick Percoco, gab dies in einem Beitrag auf X bekannt und erklärte, dass die Sicherheitsfirma sich geweigert habe, die Gelder zurückzugeben, und nun eine höhere Auszahlung als Kopfgeld verlange.

Lesen Sie auch: Der Kryptowährungsaustausch DMM Bitcoin verspricht, den Benutzern nach einem 300-Millionen-Dollar-Hack eine Entschädigung zu zahlen

Als Reaktion darauf hat Kraken die Angelegenheit an die Strafverfolgungsbehörden weitergeleitet und wird sie als Straftat behandeln. Benutzer müssen sich jedoch keine Sorgen machen, da die Börse angibt, die Sicherheitslücke bereits behoben zu haben und kein Benutzerkonto betroffen sei.

Kraken-Bug ermöglicht Gelddrucken

Laut Percoco hat ein Sicherheitsforscher Kraken am 9. Juni über sein Bug-Bounty-Programm auf einen kritischen Fehler aufmerksam gemacht. Bei internen Untersuchungen entdeckte das Sicherheitsteam der Börse eine Schwachstelle, die es einem böswilligen Akteur ermöglichen könnte, eine Einzahlung auf sein Kraken-Konto zu veranlassen und das Geld zu erhalten Gelder ohne Abschluss der Einzahlung. Ein böswilliger Angreifer könnte durch diesen Exploit Millionen aus dem Nichts drucken.

Er erklärte:

„Wir haben einen einzelnen Fehler entdeckt. Dadurch konnte ein böswilliger Angreifer unter den richtigen Umständen eine Einzahlung auf unsere Plattform veranlassen und Geld auf sein Konto erhalten, ohne die Einzahlung vollständig abzuschließen.“

Das interne Sicherheitsteam hat das Problem innerhalb von 47 Minuten entschärft und nach einigen Stunden vollständig behoben. Das Unternehmen stellte jedoch fest, dass der Fehler auf eine kürzlich vorgenommene Änderung seiner Benutzeroberfläche zurückzuführen war, die es Kundenkonten ermöglichte, Gutschriften vorzunehmen, bevor ihre Vermögenswerte gelöscht wurden. Obwohl die Änderung integriert wurde, um den sofortigen Handel zu ermöglichen, wurde sie nicht vollständig auf diese Art von Risiko getestet.

Percoco fügte jedoch hinzu, dass der dent keine Auswirkungen auf die Vermögenswerte der Benutzer hatte und dass die Ausnutzung der Schwachstelle nur die Kraken-Finanzverwaltung betraf.

Die Sicherheitsforscher sind Kriminelle

Unterdessen ergab eine Analyse der Schwachstelle, dass drei Konten die Schwachstelle ausnutzten und eines dieser Konten unter dem Namen des Sicherheitsforschers registriert war, der ursprünglich Kontakt mit der Börse aufgenommen hatte.

Lesen Sie auch: Kraken erwägt die Delistung von USDT als Reaktion auf neue EU-Vorschriften

Während das Konto des Forschers den Fehler nur nutzte, um sich 4 US-Dollar gutzuschreiben, was ausreichte, um zu beweisen, dass der Fehler echt war, haben die beiden anderen Konten mit demselben Exploit fast 3 Millionen US-Dollar von ihren Kraken-Konten abgehoben. Interessanterweise waren diese Konten mit Mitarbeitern des Sicherheitsforschers verbunden.

Kraken erklärte, dass seine Versuche, die Gelder zurückzubekommen, vergeblich waren, da die Forscher nun eine höhere Zahlung verlangen, die ihrer Meinung nach dem Risiko des Fehlers angemessen ist.

Percoco bezeichnete dies als einen Erpressungsakt, der dem Prinzip des Bug-Bounty-Programms widerspreche. Er fügte hinzu, dass ein Verstoß gegen die Regeln, die White-Hat-Hackern die Lizenz zum Hacken geben, die Sicherheitsforscher zu Kriminellen macht und die Börse sie als solche behandelt.

In diesem Beitrag getaggte Themen: | |

Haftungsausschluss. Die bereitgestellten Informationen sind keine Handelsberatung. Cryptopolitan.com haftet nicht für Investitionen, die auf der Grundlage der auf dieser Seite bereitgestellten Informationen getätigt wurden. Wir tron dringend unabhängige dent und/oder Beratung durch einen qualifizierten Fachmann, bevor Sie Anlageentscheidungen treffen.

Einen Link teilen:

Meist gelesen

Die meisten gelesenen Artikel werden geladen...

Bleiben Sie über Krypto-Neuigkeiten auf dem Laufenden und erhalten Sie tägliche Updates in Ihrem Posteingang

Ähnliche Neuigkeiten

Bondex
Kryptopolitan
Abonnieren Sie CryptoPolitan