Die Sicherheitsfirma CertiK und die Kryptobörse Kraken befinden sich in einer Auseinandersetzung um einen Bug-Bounty-Programm im Zuge eines Diebstahls von 3 Millionen US-Dollar. Nach Angaben des Chief Security Officers von Kraken, Nick Percoco, wurden am Mittwoch 3 Millionen US-Dollar aus den Wallets des Unternehmens entwendet. Ein Fehler ermöglichte es jedem, eine Einzahlung auf die Plattform zu tätigen und die Mittel zu erhalten, ohne sie abzuschließen. Drei Personen, die mit einem nicht genannten Unternehmen verbunden sind, weigerten sich, die Gelder zurückzugeben, bis Kraken das potenzielle Ausmaß des Exploits öffentlich machte.
CertiK hatte am 5. Juni eine Schwachstelle im Einzahlungssystem von Kraken entdeckt, die Auszahlungen von gefälschten Kryptowährungen ermöglichte, die in gültige Kryptowährungen umgewandelt werden konnten. Die Sicherheitsfirma gab an, am 5. Juni 200 Matic eingezahlt und zwei Tage später 90.000 Matic abgehoben zu haben. Anschließend habe sie eine deutlich größere Einzahlung getätigt und am 9. Juni einen noch größeren Betrag abgehoben.
In ihren Testergebnissen stellte CertiK fest, dass Kraken bei allen Tests gescheitert sei, was darauf hindeute, dass Krakens Verteidigungssystem kompromittiert sei und Millionen von Dollar auf jedes Kraken-Konto eingezahlt werden könnten. Zudem sei es möglich, eine beträchtliche Menge an gefälschten Kryptowährungen (im Wert von mehr als 1 Mio. USD) abzuheben und in gültige Kryptowährungen umzuwandeln. Kraken habe erst reagiert und die Testkonten Tage nach offizieller Meldung des Vorfalls gesperrt.
Nick Percoco, der Chief Security Officer von Kraken, erklärte, dass sein Unternehmen den Fehler innerhalb von einer Stunde und 47 Minuten behoben und vollständig behoben habe, bevor er innerhalb weniger Stunden behoben wurde. Der Fehler sei auf eine kürzliche UX-Änderung zurückzuführen, die dazu führte, dass die Konten der Kunden sofort gutgeschrieben wurden, bevor ihre Vermögenswerte freigegeben wurden, was es den Kunden ermöglichte, effektiv in Echtzeit mit Kryptomärkten zu handeln.
Nach weiteren Untersuchungen stellte Kraken fest, dass drei Konten den Fehler bereits ausgenutzt hatten, um ihre Konten mit 4 US-Dollar in Kryptowährungen zu belasten, was ausgereicht hätte, um einen Bug-Bounty-Bericht beim Kraken-Team einzureichen und sich so einen beträchtlichen Geldbetrag aus dem Bug-Bounty-Programm der Kryptobörse zu verdienen. Die Forscher weigerten sich jedoch, den Bericht einzureichen, und Percoco bezeichnete das Ereignis als "Erpressung".
CertiK behauptete, dass nach erfolgreicher Identifizierung und Behebung der Schwachstelle Krakens Sicherheitsteam einzelne Mitarbeiter der Sicherheitsfirma bedroht habe, um unpassende Kryptobeträge zurückzuzahlen, ohne ihnen angemessene Zeit oder Rückzahlungsadressen zu geben.
Die Auseinandersetzung zwischen CertiK und Kraken bezüglich des Bug-Bounty-Programms dauert seit mehreren Tagen an. Es ist klar, dass die Sicherheit und Integrität von Kryptowährungsbörsen immer wieder auf die Probe gestellt werden und es von entscheidender Bedeutung ist, dass solche Schwachstellen schnell identifiziert und behoben werden, um das Vertrauen der Benutzer in die Plattformen aufrechtzuerhalten. Die Diskrepanz zwischen den beiden Unternehmen zeigt auch die Komplexität und Herausforderungen im Bereich der Kryptowährungssicherheit auf und unterstreicht die Notwendigkeit einer kontinuierlichen Überwachung und Verbesserung der Sicherheitsmaßnahmen.
