In einer unerwarteten Wendung enthüllte Kraken, eine führende Kryptowährungsbörse, am 19. Juni, dass sie seit Monaten mit einem Fehler zu kämpfen hatte, der es Nutzern ermöglichte, kostenlos Geld auf ihren Konten zu generieren.
Dieses Problem kam ans Licht, nachdem ein Sicherheitsforscher Kraken vor einem extrem kritischen Fehler in ihrem System gewarnt hatte.
Steckt Kraken jetzt in Schwierigkeiten?
Dieser Fehler führte zur Abhebung von mindestens 3 Millionen USD an digitalen Vermögenswerten, was für Schlagzeilen sorgte. Nicholas Percoco, Chief Security Officer von Kraken, merkte auf X (ehemals Twitter) an:
Trotz dieses Vorfalls waren die Vermögenswerte keiner Kunden jemals gefährdet.
Quelle: Nicholas Percoco
Percoco erklärte weiter, dass Benutzer Geld auf ihre Kraken-Konten gutschreiben konnten, indem sie Einzahlungen vornahmen, ohne den Einzahlungsprozess tatsächlich abzuschließen. Er sagte:
Ein böswilliger Angreifer konnte für einen bestimmten Zeitraum effektiv Vermögenswerte in seinem Kraken-Konto erstellen.
Quelle: Nicholas Percoco
Der Sicherheitsforscher nutzte den Fehler, um sein Konto mit 4 USD in Kryptowährung zu gutschreiben, was ausgereicht hätte, um das Problem zu melden und eine Belohnung zu erhalten.
Statt das Problem zu melden, teilte der Forscher es jedoch mit zwei Mitverschwörern, die fast 3 Millionen USD von Kraken abhoben.
Reaktion von Kraken auf diesen Fehler
Als Reaktion auf die Bedenken der Benutzer bezüglich dieses Problems behauptete Kraken:
Dies kam aus den liquiden Mitteln von Kraken, nicht aus anderen Kundenvermögen.
Quelle: Kraken
Unerwartete Reaktion der Forscher
Es versteht sich von selbst, dass als Kraken die Forscher aufforderte, das Geld zurückzugeben und Details bereitzustellen, was eine Standardpraxis für Bug-Bounty-Programme ist, sie sich weigerten, zu kooperieren.
Percoco reagierte darauf:
Wir werden beschuldigt, unvernünftig und unprofessionell zu sein, weil wir ‚White-Hat-Hacker‘ bitten, zurückzugeben, was sie uns gestohlen haben. Unglaublich.
Quelle: Nicholas Percoco
Der Sicherheitsforscher zu Wort
Der Fall eskalierte, als das Blockchain-Sicherheitsunternehmen CertiK sich öffentlich als der Sicherheitsforscher identifizierte. Sie sagten:
Nach anfänglich erfolgreichen Gesprächen über die Identifizierung und Lösung der Schwachstelle hat das Sicherheitsteam von Kraken einzelne CertiK-Mitarbeiter BEDROHT, einen NICHT ÜBEREINSTIMMENDEN Betrag an Krypto in einer UNVERNÜNFTIGEN Zeit zurückzuzahlen, selbst OHNE Rückzahlungs-Wallets bereitzustellen.
Quelle: CertiK
Dies wurde zunächst kritisiert, wie Lefteris Karapetsas, Gründer von Rotkiapp, betonte:
Dies ist schockierendes Verhalten von CertiK. Verantwortungsvolle Offenlegung erfordert ethisches Verhalten.
Quelle: Rotkiapp
Angesichts der Erfolgsbilanz von CertiK bei der Identifizierung von Schwachstellen bleibt das Ergebnis für die Börse ungewiss.