In der Welt der Kryptowährungen sind Sicherheitslücken und Hackerangriffe leider keine Seltenheit. Ein aktuelles Beispiel für eine solche Situation ist der jüngste Vorfall zwischen der US-basierten Börse Kraken und der Prüfungsgesellschaft CertiK. Es wurde kürzlich bekannt, dass ein Hacker versucht hat, eine Sicherheitslücke auszunutzen, die bereits zuvor auf anderen zentralisierten Börsen aufgetreten war.
Die von verschiedenen Kryptosicherheitsexperten durchgeführten Analysen zeigten, dass der sogenannte “revert”-Angriff auf mehreren Krypto-Börsen wie Binance, OKX, BingX und Gate.io schon im Mai aufgetreten war. Interessanterweise fand CertiK erst drei Wochen später die gleiche Sicherheitslücke auf Kraken. Diese Verzögerung wirft Fragen auf, ob CertiK möglicherweise in die früheren Angriffe verwickelt war oder ob es sich bei den Vorfällen um separate Ereignisse handelt.
Der “revert”-Angriff funktioniert, indem ein Hacker einen Smart Contract erstellt, der eine Transaktion zur Einzahlung von Geldern auf einer zentralisierten Börse enthält. Dieser Smart Contract ist so konstruiert, dass die Haupttransaktion erfolgreich ist, aber die Einzahlung rückgängig gemacht wird. Dadurch wird die Börse getäuscht und glaubt, dass der Benutzer Geld eingezahlt hat, obwohl dies nicht der Fall ist. Anschließend fordert der Hacker eine Auszahlung von der Börse an und belastet den Betrag der gefälschten Einzahlung.
Es ist jedoch wichtig anzumerken, dass CertiK behauptet, nur als “white-hat” Hacker gehandelt zu haben. Dies bedeutet, dass ihr Ziel darin bestand, Sicherheitslücken zu entdecken und zu beheben, anstatt sie für bösartige Zwecke auszunutzen. Nachdem sie erfolgreich $3 Millionen von Kraken abgezogen hatten, gab CertiK das Geld zurück und betonte, dass es sich um eine ethische Operation handelte.
Zu der Frage, ob CertiK in die früheren Angriffe involviert war, gibt es bisher keine konkreten Beweise. Sicherheitsforscher haben festgestellt, dass die Funktionen von Smart Contracts jeweils einen sogenannten Signaturhash haben, anhand dessen sie identifiziert werden können. Im Falle des revert-Angriff-Vertrags ist der Signaturhash jedoch nicht verfügbar, was bedeutet, dass der Name der Funktion nicht öffentlich bekannt ist.
Insgesamt verdeutlicht dieser Vorfall die anhaltende Bedrohung durch Hackerangriffe auf Kryptowährungsbörsen und die Notwendigkeit, ständig nach neuen Sicherheitslücken Ausschau zu halten. Die Tatsache, dass derselbe Bug bereits auf anderen Börsen existierte, bevor er auf Kraken entdeckt wurde, zeigt, wie schnell und geschickt Hacker die Schwächen im System ausnutzen können.
Es bleibt abzuwarten, welche weiteren Entwicklungen es in dieser Angelegenheit geben wird und ob die Sicherheitslücken vollständig behoben werden können, um das Vertrauen der Nutzer in die Integrität der Kryptobörsen wiederherzustellen. Es ist entscheidend, dass die Börsen weiterhin proaktiv handeln und ihre Sicherheitsvorkehrungen regelmäßig überprüfen, um solche Vorfälle in Zukunft zu vermeiden.
