Der Kraken-Bug-Bounty-Programmpatch behebt isolierten Fehler
Unsere Bestrebungen, die Gesamtsicherheit des Krypto-Ökosystems kontinuierlich zu verbessern, haben dazu geführt, dass wir einen isolierten Fehler in unseren Einzahlungs- und Finanzierungssystemen behoben haben. Keine Kundengelder waren gefährdet oder beeinträchtigt, bevor dieser Vorfall bekannt wurde. Kraken hat den Fehler behoben.
Ein Drittanbieter-Sicherheitsforschungsunternehmen entdeckte den Fehler zunächst, nachdem es die Schwachstelle ausgenutzt hatte, um finanzielle Gewinne zu erzielen, bevor es den Fehler an Krakens Bug-Bounty-Programm meldete. Diese Schwachstelle ermöglichte es bestimmten Benutzern, den Wert ihres Kraken-Kontostands künstlich zu erhöhen, ohne eine Einzahlung vollständig abzuschließen.
Bei der Entdeckung arbeitete ein interdisziplinäres Team bei Kraken innerhalb weniger als einer Stunde daran, das Problem zu mildern. Anschließend wurde die Lösung gründlich getestet, um ähnliche Probleme in Zukunft zu verhindern.
Leider handelten die Drittforscher, die den Fehler entdeckten, in bösem Glauben und außerhalb der Regeln unseres etablierten Bug-Bounty-Programms, das seit fast einem Jahrzehnt in Betrieb ist. Bewährte Praktiken im Bereich der Bug-Bounty-Programme beinhalten in der Regel eine sorgfältige Zusammenarbeit zwischen beiden Parteien, wobei von Sicherheitsforschern erwartet wird:
- Nur das auszunutzen, was notwendig ist, um eine Sicherheitslücke nachzuweisen
- Prompt die extrahierten Vermögenswerte zurückzugeben
- Details zu Tests bereitzustellen, wie z. B. Proof-of-Concept-Code, der es dem Unternehmen ermöglicht, bei der Identifizierung und Behebung des zugrunde liegenden Fehlers zu helfen
Wir werden dem Forscher dieser Offenlegung kein Guthaben gutschreiben, da er keines dieser Industriestandards eingehalten hat.
Im Gegenzug für Berichte von Sicherheitslücken wird von Entwicklern wie Kraken erwartet, aufmerksam zu sein, die zugrunde liegende Problematik schnell zu beheben und die unglaubliche Arbeit des Forschers öffentlich anzuerkennen. Am wichtigsten ist jedoch, dass von ihnen erwartet wird, den Forscher mit einem großzügigen Finderlohn zu belohnen. Wir haben aktiv unsere Verpflichtungen aus dieser Vereinbarung erfüllt.
Sicherheitsforschung ist nichts Neues für Kraken, das tiefe Wurzeln in der Info-Sec-Branche hat. Unser Team von Kraken Security Labs hat bereits Sicherheitslücken bei anderen Krypto-Providern wie Ledger und Trezor entdeckt und gemeldet, um ihnen zu helfen, ihre Produkte zu verbessern.
Wir verstehen den Wert, den externe Sicherheitsforschung bieten kann, und wie sie das breitere Ökosystem stärken kann. Es gibt einfach keinen besseren Weg, um alle Benutzer an der Krypto-Front abzusichern, als gemeinsam zu arbeiten.
"Als Führungskraft mit Wurzeln in der Hacker-Community kann ich die Bedeutung bestätigen, die die Nutzung von Fähigkeiten, Wissen und Fachkenntnissen der Sicherheitsgemeinschaft haben kann, um die Sicherheitsstrategien und Risikomanagementkontrollen von Unternehmen zu verbessern", sagte Nick Percoco, Chief Security Officer von Kraken.
Wir betrachten unser Bug-Bounty-Programm als einen wichtigen Schutzschild für Krakens Mission und als einen wesentlichen Bestandteil unserer Bemühungen, unsere gesamten Sicherheitssysteme und -prozesse zu verbessern. Über die Jahre haben wir mit vielen talentierten und ehrlichen Sicherheitsforschern zusammengearbeitet und freuen uns darauf, diese Zusammenarbeit auch in Zukunft fortzusetzen.
