CertikReal

Kraken Exchange Extortion Scandal: Millionen von Dollar gestohlen und erpresst

Kraken wirft Sicherheitsforschern Erpressung wegen Fehler vor • Der Register. Warum die Zusammenarbeit Plötzlich scheiterte.

Kraken, eine der größten Kryptowährungsbörsen der Welt, hat drei Sicherheitsforscher beschuldigt, einen schwerwiegenden Fehler entdeckt zu haben, diesen ausgenutzt zu haben, um Millionen von digitalen Geldern zu stehlen, und dann gestohlene Gelder verwendet zu haben, um die Börse zu erpressen. Die Börse veröffentlichte gestern Informationen zu dem Vorfall und erklärte, dass die Verwundbarkeit einige Benutzern ermöglichte, “den Wert ihres Kraken-Kontostands künstlich zu erhöhen, ohne eine Einzahlung vollständig abzuschließen”. Der Chefsicherheitsbeauftragte von Kraken, Nicholas Percoco, erklärte, dass die Forscher keine Details in ihrem Bug-Bounty-Bericht angegeben hätten, sein Team den Fehler jedoch innerhalb einer Stunde entdeckt habe. Laut Percoco stammte das Problem von einer kürzlichen UX-Änderung, durch die Konten der Benutzer gutgeschrieben wurden, bevor die Vermögenswerte tatsächlich abgewickelt wurden, um eine künstliche Real-Time-Kryptowährungstransaktionen zu erzeugen. “Diese UX-Änderung wurde nicht vollständig auf diesen spezifischen Angriffsvektor getestet”, räumte Percoco ein. Ein einfaches Melden des Fehlers hätte für einen ansehnlichen Bug-Bounty ausgereicht, fügte Percoco hinzu. Der Forscher, der die Verwundbarkeit gemeldet hatte, ging jedoch weiter.

Percoco erklärte, dass der Analyst hinter der Entdeckung die Verwundbarkeit mit einigen Kollegen teilte, die dann die Verwundbarkeit ausnutzten, um fast 3 Millionen Dollar von der Plattform abzuheben. Kraken wies darauf hin, dass die auf diese Weise gestohlenen Gelder aus der Kraken-Schatulle stammen und nicht Kundenvermögen waren. Doch in der Welt der Kryptowährung endete die wilde Fahrt nicht mit dem Diebstahl von Millionen. Percoco sagte, dass die Forscher sich geweigert hätten, einen vollständigen Bericht über ihre Aktivitäten im Zusammenhang mit der Verwundbarkeit vorzulegen, einen Nachweis des Konzepts zu erbringen oder die über die Verwundbarkeit abgehobenen Gelder zurückzugeben. “Stattdessen verlangten sie einen Anruf mit ihrem Business Development Team … und haben sich geweigert, Gelder zurückzugeben, bis wir einen spekulativen [Dollar]-Betrag nennen, den dieser Fehler hätte verursachen können, wenn sie ihn nicht gemeldet hätten”, sagte Percoco. “Das ist kein White-Hat-Hacking, es ist Erpressung!”

Siehe auch  Ehemaliger Goldman-Manager prognostiziert wirtschaftlichen Zusammenbruch, sagt, dass er Krypto auflädt

Kraken reagierte nicht auf Anfragen von The Register zu diesem Vorfall. “Wir behandeln dies als Strafsache und koordinieren entsprechend mit Strafverfolgungsbehörden”, fügte Percoco hinzu. “Wir sind dankbar, dass dieser Vorfall gemeldet wurde, aber damit endet unser Gedanke.” Die Forscher schlagen zurück. Kraken wollte die Forscher hinter dem angeblichen Erpressungsversuch nicht namentlich nennen, aber die Forscher selbst bleiben nicht untätig – sie werfen Kraken Fehlverhalten vor. Das US-amerikanische Blockchain-Sicherheitsunternehmen CertiK erklärte, dass es die andere Partei in diesem Streit sei und dass das Gespräch zunächst gut verlief, bis das Sicherheitsteam von Kraken das Problem behob. “Nach anfänglich erfolgreichen Umwandlungen bei der Identifizierung und Behebung der Verwundbarkeit hat das Sicherheitsteam von Kraken einzelne CertiK-Mitarbeiter damit bedroht, einen UNSTIMMIGEN Betrag an Krypto binnen einer UNANGEMESSENEN Zeit zurückzuzahlen, ohne auch nur Rückzahlungsadressen anzugeben”, erklärte CertiK. CertiK behauptete auch, dass es angeboten habe, die Gelder zurückzugeben und niemals versucht habe, sie zurückzuhalten. Doch die Krypto-Community geht nicht zimperlich mit dem Unternehmen um.

Eine Reihe von Befragten behauptete, dass Wallets, die mit CertiK in Verbindung gebracht wurden, dabei erwischt wurden, US-sanktionierte Kryptowährungsmixer wie TornadoCash und die Krypto-Austauschplattform ChangeNOW zu verwenden, während andere auf angebliche Inkonsistenzen in CertiKs öffentlichen Mitteilungen und Aufzeichnungen auf der Blockchain hinwiesen. Darüber hinaus wurde behauptet, dass der von CertiK angegebene Betrag, den sie Kraken schuldeten, um Zehntausende von Dollar niedriger war als das, was Kraken angab, dass gestohlen wurde. The Register hat eine Reihe von Personen bei CertiK um eine Erklärung zu den vermeintlichen Inkonsistenzen in ihrem Bericht gebeten und wollte mehr über den Vorfall erfahren, aber bisher keine Antwort erhalten.

Siehe auch  Kraken fordert die SEC in neuer Gerichtseinreichung heraus

Krypto News Deutschland

Das beliebte Magazin für die aktuellsten Krypto News zu Kryptowährungen auf deutsch. Experten-Analysen, Prognosen, Nachrichten und Kurse zu allen Coins, findest du zuverlässig und in Echtzeit auf unserem Magazin.

Ähnliche Artikel

Schließen

Adblocker erkannt

Wir nutzen keine der folgenden Werbeformen:
  • Popups
  • Layer
  • Umleitungen
Wir nutzen nur unaufdringliche Werbebanner, um unsere Arbeit zu finanzieren. Wenn du weiterhin alle Nachrichten, Analysen, Prognosen und Kurse kostenlos erhalten möchtest, deaktiviere bitte deinen Adblocker. Vielen Dank.