Zurück zur Liste

Kraken Hack könnte Milliarden USD kosten – aber was hat CertiK damit zu tun?

de.beincrypto.com 20 Juni 2024 08:30, UTC

Die Krypto Börse Kraken meldet einen fast 3 Millionen USD schweren Hack und behauptet obendrein erpresst zu werden. Kurz darauf erklärt Sicherheitsunternehmen CertiK dafür Verantwortlich zu sein, doch die Perspektive ist eine vollkomen andere.

Demnach habe es sich um einen White Hat Hack gehandelt, doch weder die Krypto Börse noch die Community sehen die Intensität des Vorgehens als gerechtfertigt. Das Sicherheitsunternehmen hingegen stellte die Frage in den Raum, warum Kraken bei zahlreichen Transaktionen mit hohen Summen rein gar nichts bemerkt habe.

Kontroverse Sicherheitslücke bei Kraken

Am 19. Juni veröffentlichte Krakens leitender Sicherheitsbeauftragte Nick Percoco Kraken einen X (ehemals Twitter) Post und schilderte eine kuriose Geschichte. Wie es darin hieß, sei das Unternehmen kürzlich von einem Sicherheitsforscher kontaktiert worden:

“Am 9. Juni 2024 erhielten wir von einem Sicherheitsforscher eine Meldung für das Bug Bounty-Programm. Zunächst wurden keine Einzelheiten bekannt gegeben, aber in der E-Mail wurde behauptet, einen ‘extrem kritischen’ Fehler gefunden zu haben, der es ihnen ermöglichte, ihren Kontostand auf unserer Plattform künstlich aufzublähen.”

Kraken Security Update:

On June 9 2024, we received a Bug Bounty program alert from a security researcher. No specifics were initially disclosed, but their email claimed to find an “extremely critical” bug that allowed them to artificially inflate their balance on our platform.
— Nick Percoco (@c7five) June 19, 2024

In dem ausführlichen Thread erklärte Percoco das weitere Vorgehen seines Teams. Demnach hätten sie tatsächlich eine isolierte Schwachstelle gefunden, die es dem Angreifer ermöglichte, Einzahlungen zu initiieren und Gelder zu erhalten, ohne die Einzahlungen abgeschlossen zu haben. Diese erlaubte es den Angreifern, “Vermögenswerte zu drucken” – drei Konten nutzten diesen Fehler aus.

Eines dieser drei Konten hatte eine vollständige KYC abgeschlossen und so war es ein leichtes herauszufinden, dass besagter Sicherheitsforscher hinter der Attacke steckte. Mit einer Einzahlung von lediglich 4 USD gelang es ihm letztendlich, fast 3 Millionen USD zu “drucken” und auszuzahlen.

Percoco kritisierte dieses Vorgehen scharf, da das Entwenden eines Minimalbetrags gereicht hätte, um die Sicherheitslücke zu beweisen. Kraken biete schließlich ein Bug Bounty-Programm an, das klaren Regeln folge:

Entwende nicht mehr Gelder als nötig
Zeige deine Arbeit (d. h. liefere einen Konzeptnachweis)
Gib sofort zurück, was du entwenden konntest

*Ein White-Hat-Hacker, ist ein jemand, der Sicherheitslücken sucht bzw. testet und Betroffene anschließend darüber aufklärt. Diese Hacker helfen Unternehmen also, ihre Sicherheit zu erhöhen. Ein “Bug Bounty-Programm” ist wiederum eine Initiative von Unternehmen, um White-Hat-Hacker zu entlohnen, wenn sie eine Sicherheitslücke finden.

Obendrein habe besagte Entität die Gelder nicht zurückerstattet. Stattdessen verlangte sie eine Einschätzung des möglichen Schadensausmaßes und einen Call mit ihrem Business Development Team. Obendrein sei der anfängliche Bug Bounty Bericht nicht einmal vollständig ausgefüllt worden.

Percoco nannte dieses Vorgehen Erpressung statt White-Hat-Hacking. Aus diesem Grund wolle Kraken den Namen des Sicherheitsunternehmens zwar nicht bekannt geben, den Hack jedoch als Kriminalfall behandeln.

Sicherheitsunternehmen CertiK meldet sich zu Wort

Etwa drei Stunden nach der ausgiebigen Erklärung von Kraken meldete sich das Sicherheitsunternehmen CertiK zu Wort – ebenfalls mit einem langen Thread. So begannen sie zu erklären:

“CertiK hat kürzlich eine Reihe von kritischen Schwachstellen auf Kraken festgestellt, die möglicherweise zu Verlusten in Höhe von Hunderten von Millionen Dollar führen könnten.
Ausgehend von einem Fund in Krakens Einzahlungssystem, das möglicherweise nicht zwischen verschiedenen internen Überweisungsstatus unterscheiden kann, haben wir eine gründliche Untersuchung mit drei Schlüsselfragen durchgeführt:
1/ Kann ein böswilliger Akteur eine Einzahlungstransaktion auf ein Kraken-Konto fälschen?
2/ Kann ein böswilliger Akteur gefälschte Gelder abheben?
3/ Welche Risikokontrollen und Vermögensschutzmaßnahmen könnten durch eine große Abhebungsanforderung ausgelöst werden?”

CertiK recently identified a series of critical vulnerabilities in @krakenfx exchange which could potentially lead to hundreds of millions of dollars in losses.

Starting from a finding in @krakenfx's deposit system where it may fail to differentiate between different internal… pic.twitter.com/JZkMXj2ZCD
— CertiK (@CertiK) June 19, 2024

Wie CertiK weiter erklärte, habe Kraken keinen einzigen dieser drei Tests bestanden, während die Schwachstelle zu potenziellen Verlusten in Höhe von Hunderten Millionen USD führen könnte. Die Sicherheitsfirma habe die Tests über einen längeren Zeitraum durchgeführt, um zu sehen, ob ein Alarm ausgelöste würde.

Leider enttäuschten die Vorkehrungen der Krypto Börse auch in dieser Hinsicht. Nachdem CertiK die Sicherheitslücke schließlich gemeldet hatte, dauerte es weitere drei Tage, bis Kraken antwortete und die Konten blockierte. Weiter hieß es:

“Nach anfänglichen erfolgreichen Konvertierungen bei der Identifizierung und Behebung der Schwachstelle hat das Sicherheitsteam von Kraken einzelnen CertiK-Mitarbeitern gedroht, eine FALSCHE Menge an Krypto in einer UNMÖGLICHEN Zeit zurückzuzahlen, sogar OHNE Rückzahlungsadressen anzugeben.”

CertiK erklärte, im Sinne der Transparenz, mit diesem Post an die Öffentlichkeit zu gehen und ermahnte Kraken, Drohungen gegen die eigenen Mitarbeiter endlich zu unterlassen. Das Sicherheitsunternehmen teilte die Testeinzahlungen öffentlich mit und betonte, dass keine echten Kraken-Nutzer betroffen waren.

Dennoch bleiben die Fronten ungeklärt. Kraken behauptet, die Gelder nicht zurückerhalten zu haben und sieht das Ausmaß des Angriffes als unverhältnismäßig an. Obendrein seien die Regeln ihres Bug Bounty Programms missachtet worden.

CertiK hingegen rechtfertigt sein Handeln mit dem Testen des Alarmsystems, welches abgesehen von der Sicherheitslücke auch nach mehreren Tagen nicht anschlug. Zudem hätten sie keine angemessene Antwort bzw. Rückzahlungsadresse erhalten.

Kraken vs. CertiK: Wer hat recht?

Kraken sieht sich durch den Hack bedroht und wirft CertiK vor, Erpressung zu betreiben. CertiK hingegen behauptet, dass sie im Interesse der Sicherheit des Web3 gehandelt haben. Kraken drohte CertiK-Mitarbeitern mit rechtlichen Konsequenzen, während CertiK die Öffentlichkeit über X informierte, um Transparenz zu gewährleisten.

In diesem Dilemma scheinen viele Nutzer auf der Seite von Kraken zu sein. So fragte einer von ihnen, warum so viele Testtransaktionen notwendig gewesen seien, woraufhin CertiK antwortete:

“Die eigentliche Frage sollte sein, warum Krakens tiefgreifendes Verteidigungssystem so viele Testtransaktionen nicht erkennen konnte. Das ist in der Tat das, was wir getestet haben.
Man hat schon oft gehört, dass eine schwache Börse auf die Entdeckung eines Sicherheitsfehlers mit einer starken Risikokontrolle und einem tiefgreifenden Verteidigungssystem (von dem sie behaupten, dass es jeden bedeutenden Verlust verhindern würde) geprahlt hat. CertiK hat dies mit Kraken getestet und ist dabei kläglich gescheitert.”

Doch die Community scheint dies anders zu betrachten. Viele nannten das Handeln von CertiK einen “Multimillionen Diebstahl” und “Erpressung”. Einige sahen CertiK Mitarbeiter schon zu Gefängnisstrafen verurteilt.

Das Sicherheitsunternehmen rechtfertigte die großen Abhebungen damit, dass sie die Grenzen von Krakens Sicherheitsmechanismen testen wollten. Doch kaum einer scheint dies einzusehen. Offenbar findet sich bis jetzt kein gemeinsamer Nenner, nicht einmal in der Höhe der entwendeten Beträge herrscht Konsens.

CertiK betonte jedoch, dass alle gehaltenen Mittel zurückgegeben wurden, basierend auf ihren Aufzeichnungen, und dass sie keine Prämie gefordert hätten. Das Sicherheitsunternehmen hätte an mancher Stelle wohl anders vorgehen können, jedoch sind auch die Sicherheitslücken bei Kraken alarmierend.

Wie BitMEX Mitbegründer Arthur Hayes kürzlich erklärte, sehe er für den aktuellen Marktzyklus der Kryptowährungen das größte Risiko in Hacks von großen Krypto Börsen. Plattformen, wie Coinbase, dienen als Verwahrer für die Vermögenswerte einiger Bitcoin Spot ETFs und werden dies voraussichtlich auch für die Ethereum-basierten Fonds tun.

Derartige Schwachstellen könnten für Milliardenschäden sorgen, den Markt zerstören und obendrein das Vertrauen in die Krypto Branche wieder einmal zunichtemachen. Sicherheit ist zurzeit wohl das oberste Gebot für die voranschreitende Massenadoption von Krypto.

Obgleich CertiK also fehlerhaft gehandelt haben mag, sollte ein rechtliches Vorgehen gegen derartig wichtige Branchenteilnehmer wohlüberlegt sein.

de.beincrypto.com

Herunterladen Sie die Crypto News App und erhalten Sie globale Neuigkeiten über Kryptowährungen und Blockchain-Technologie aus verschiedenen Quellen:

Aktuelle Neuigkeiten

Ripple (XRP): Will die US-Börsenaufsicht SEC Urteil in Berufung anzweifeln?

block-builders.de 06 September 2024 18:31, UTC

IOTA wirbt um Gunst der EU – und entfernt sich von seinen Wurzeln

block-builders.de 06 September 2024 18:08, UTC

Bericht: Krypto-Derivate signalisieren „größere Abwärtsrisiken“ für Bitcoin und Ethereum

coinphony.com 06 September 2024 18:01, UTC

Ethereum -Preisvorhersage 2024–2030: Wird ETH bald 5.000 US-Dollar erreichen?

cryptopolitan.com 06 September 2024 17:54, UTC

CEOs von Yelp und Ripple unterstützen Kamala Harris

invezz.com 06 September 2024 17:52, UTC

Solana Kursanalyse: Rückgang und mögliche Wendepunkte im Blick

news-krypto.de 06 September 2024 16:52, UTC