Am 9. Juni 2024 erhielt die prominente Kryptowährungsbörse Kraken einen alarmierenden Bericht über ein Bug Bounty. Der Bericht, der von einem Sicherheitsforscher eingereicht wurde, behauptete, eine "extrem kritische" Schwachstelle entdeckt zu haben, die zu einer Guthabenerhöhung führte. Was zunächst wie ein routinemäßiger Schwachstellenbericht aussah, entwickelte sich jedoch schnell zu einem Erpressungsversuch.
Während der Untersuchung des Fehlerberichts identifizierte ein Team unter der Leitung von Nick Percoco, dem Chief Security Officer von Kraken, eine 3-Millionen-Dollar-Exploit. Insbesondere ging der leitende Angestellte am 19. Juni in einem Beitrag auf X (ehemals Twitter) auf die gesamte Situation ein.
Die Untersuchung ergab, dass drei Konten innerhalb weniger Tage von der gemeldeten Schwachstelle profitiert hatten. Ein Konto gehörte einer Person, die angab, ein Sicherheitsforscher zu sein. Grundsätzlich entdeckte und nutzte diese Person den Fehler, um ihr Konto um 4 Dollar in Krypto zu gutschreiben.
Perococo beschrieb dies als ausreichend, um den Fehler nachzuweisen und eine beträchtliche Belohnung über Krakens Bug Bounty-Programm zu erhalten. Die Dinge eskalierten jedoch schnell, nachdem die anderen beiden Konten bemerkt worden waren, die angeblich von der Offenlegung der ersten Person profitiert hatten.
„Stattdessen hat der 'Sicherheitsforscher' diesen Fehler an zwei weitere Personen weitergegeben, mit denen sie zusammenarbeiten, die betrügerischerweise deutlich größere Beträge generiert haben. Letztendlich haben sie fast 3 Millionen Dollar von ihren Kraken-Konten abgehoben. Dies erfolgte aus den Schatzreserven von Kraken, nicht aus anderen Kundenguthaben“, so Nick Percoco.
Als Kraken eine vollständige Aufstellung ihrer Aktivitäten und die Rückgabe der abgehobenen Gelder verlangte, weigerten sich die Sicherheitsforscher und forderten einen Anruf mit ihrem Business-Entwicklungsteam, was Percoco als Erpressung bezeichnete.
Darüber hinaus erklärte der Chief Security Officer, dass Krakens Bug Bounty-Programm, das seit fast einem Jahrzehnt besteht, klare Regeln hat: „Exploiten Sie nicht mehr als nötig, um die Schwachstelle zu beweisen, liefern Sie ein Proof of Concept und geben Sie sofort alle extrahierten Gelder zurück.“
Laut dem leitenden Angestellten der Börse hatten legitime Forscher noch nie Probleme mit Kraken, das immer responsiv war.
Im Interesse der Transparenz hat das Unternehmen den Fehler in der Branche offengelegt und behandelt den Vorfall als kriminellen Fall, indem es mit Strafverfolgungsbehörden zusammenarbeitet. Die Börse betonte, dass das Ignorieren von Regeln des Bug Bounty-Programms und der Versuch, das Unternehmen zu erpressen, die „Lizenz zum Hacken“ eines Forschers widerruft und sie zu Kriminellen macht.
Darüber hinaus enthüllte Nick Percoco, dass die Börse regelmäßig gefälschte Bug-Bounty-Berichte erhält. Dennoch behandelte Kraken diesen Bericht ernsthaft und stellte prompt ein Team zusammen, um zu untersuchen. Innerhalb von Minuten entdeckten sie einen isolierten Fehler, der es einem böswilligen Angreifer unter bestimmten Umständen ermöglichte, eine Einzahlung zu tätigen und Geld zu erhalten, ohne die Transaktion vollständig abzuschließen.
Krakens Team hat das Problem innerhalb von einer Stunde und 47 Minuten behoben, wie Percoco berichtet. Die Schwachstelle wurde innerhalb weniger Stunden vollständig behoben, um sicherzustellen, dass sie nicht wieder auftreten konnte. Der Fehler resultierte aus einer kürzlichen Änderung des Benutzererlebnisses (UX), die die Konten der Kunden vor der Freigabe ihrer Vermögenswerte gutschrieb und den Echtzeit-Handel ermöglichte.
„Diese Änderung wurde nicht gründlich gegen den spezifischen Angriffsvektor getestet“, so Nick Percoco.
Trotz dieser isolierten Erfahrung bleibt Kraken seinem Bug Bounty-Programm verpflichtet und erkennt dessen Bedeutung für die Verbesserung der Gesamtsicherheit des Krypto-Ökosystems an. Die Börse freut sich darauf, in Zukunft mit gutgläubigen Akteuren zusammenzuarbeiten, während sie sich gegen unethisches Verhalten stellt.
