Kraken, eine der größten Kryptowährungsbörsen der Welt, hat drei Sicherheitsforscher beschuldigt, einen schwerwiegenden Fehler entdeckt zu haben, diesen ausgenutzt zu haben, um Millionen von digitalen Geldern zu stehlen, und dann gestohlene Gelder verwendet zu haben, um die Börse zu erpressen. Die Börse veröffentlichte gestern Informationen zu dem Vorfall und erklärte, dass die Verwundbarkeit einige Benutzern ermöglichte, “den Wert ihres Kraken-Kontostands künstlich zu erhöhen, ohne eine Einzahlung vollständig abzuschließen”. Der Chefsicherheitsbeauftragte von Kraken, Nicholas Percoco, erklärte, dass die Forscher keine Details in ihrem Bug-Bounty-Bericht angegeben hätten, sein Team den Fehler jedoch innerhalb einer Stunde entdeckt habe. Laut Percoco stammte das Problem von einer kürzlichen UX-Änderung, durch die Konten der Benutzer gutgeschrieben wurden, bevor die Vermögenswerte tatsächlich abgewickelt wurden, um eine künstliche Real-Time-Kryptowährungstransaktionen zu erzeugen. “Diese UX-Änderung wurde nicht vollständig auf diesen spezifischen Angriffsvektor getestet”, räumte Percoco ein. Ein einfaches Melden des Fehlers hätte für einen ansehnlichen Bug-Bounty ausgereicht, fügte Percoco hinzu. Der Forscher, der die Verwundbarkeit gemeldet hatte, ging jedoch weiter.
Percoco erklärte, dass der Analyst hinter der Entdeckung die Verwundbarkeit mit einigen Kollegen teilte, die dann die Verwundbarkeit ausnutzten, um fast 3 Millionen Dollar von der Plattform abzuheben. Kraken wies darauf hin, dass die auf diese Weise gestohlenen Gelder aus der Kraken-Schatulle stammen und nicht Kundenvermögen waren. Doch in der Welt der Kryptowährung endete die wilde Fahrt nicht mit dem Diebstahl von Millionen. Percoco sagte, dass die Forscher sich geweigert hätten, einen vollständigen Bericht über ihre Aktivitäten im Zusammenhang mit der Verwundbarkeit vorzulegen, einen Nachweis des Konzepts zu erbringen oder die über die Verwundbarkeit abgehobenen Gelder zurückzugeben. “Stattdessen verlangten sie einen Anruf mit ihrem Business Development Team … und haben sich geweigert, Gelder zurückzugeben, bis wir einen spekulativen [Dollar]-Betrag nennen, den dieser Fehler hätte verursachen können, wenn sie ihn nicht gemeldet hätten”, sagte Percoco. “Das ist kein White-Hat-Hacking, es ist Erpressung!”
Kraken reagierte nicht auf Anfragen von The Register zu diesem Vorfall. “Wir behandeln dies als Strafsache und koordinieren entsprechend mit Strafverfolgungsbehörden”, fügte Percoco hinzu. “Wir sind dankbar, dass dieser Vorfall gemeldet wurde, aber damit endet unser Gedanke.” Die Forscher schlagen zurück. Kraken wollte die Forscher hinter dem angeblichen Erpressungsversuch nicht namentlich nennen, aber die Forscher selbst bleiben nicht untätig – sie werfen Kraken Fehlverhalten vor. Das US-amerikanische Blockchain-Sicherheitsunternehmen CertiK erklärte, dass es die andere Partei in diesem Streit sei und dass das Gespräch zunächst gut verlief, bis das Sicherheitsteam von Kraken das Problem behob. “Nach anfänglich erfolgreichen Umwandlungen bei der Identifizierung und Behebung der Verwundbarkeit hat das Sicherheitsteam von Kraken einzelne CertiK-Mitarbeiter damit bedroht, einen UNSTIMMIGEN Betrag an Krypto binnen einer UNANGEMESSENEN Zeit zurückzuzahlen, ohne auch nur Rückzahlungsadressen anzugeben”, erklärte CertiK. CertiK behauptete auch, dass es angeboten habe, die Gelder zurückzugeben und niemals versucht habe, sie zurückzuhalten. Doch die Krypto-Community geht nicht zimperlich mit dem Unternehmen um.
Eine Reihe von Befragten behauptete, dass Wallets, die mit CertiK in Verbindung gebracht wurden, dabei erwischt wurden, US-sanktionierte Kryptowährungsmixer wie TornadoCash und die Krypto-Austauschplattform ChangeNOW zu verwenden, während andere auf angebliche Inkonsistenzen in CertiKs öffentlichen Mitteilungen und Aufzeichnungen auf der Blockchain hinwiesen. Darüber hinaus wurde behauptet, dass der von CertiK angegebene Betrag, den sie Kraken schuldeten, um Zehntausende von Dollar niedriger war als das, was Kraken angab, dass gestohlen wurde. The Register hat eine Reihe von Personen bei CertiK um eine Erklärung zu den vermeintlichen Inkonsistenzen in ihrem Bericht gebeten und wollte mehr über den Vorfall erfahren, aber bisher keine Antwort erhalten.