In diesem Artikel sprechen wir über eine unglaubliche Geschichte: Vor wenigen Tagen hat die Wirtschaftsprüfungsgesellschaft Certik eine Sicherheitslücke im System des Krypto-Exchanges Kraken entdeckt, die zu einem schweren Hack führen könnte.
Nach Durchführung einiger Tests über 3 Tage und Durchführung eines „white hack“-Angriffs im Wert von 3 Millionen Dollar, kontaktierte Certik Kraken, um ihn über den Bug zu informieren, weigerte sich jedoch zunächst, den gestohlenen Betrag sofort zurückzugeben.
Der Austausch in Krypto hat sofort die Strafverfolgungsbehörden kontaktiert und die Situation als einen kriminellen Fall behandelt, während die kryptografische Sicherheitsfirma darauf besteht, dass es sich um einen typischen Test eines „bounty program“ handelt. Jetzt scheinen die Mittel zurückgegeben worden zu sein.
Sehen wir uns alles im Detail unten an.
Summary
Der Hack von 3 Millionen Dollar gegen den Crypto-Exchange Kraken: Certik ist verantwortlich, weigert sich jedoch, das Geld zurückzugeben
Diese Geschichte beginnt am 9. Juni 2024, als der Krypto-Exchange Kraken eine informelle Mitteilung von einem „Sicherheitsforscher“ erhält, der behauptet, eine Schwachstelle auf der Plattform gefunden zu haben, die einen großen Hack hätte verursachen können.
Wie in einem post-mortem Tweet von Nick Percoco, Chief Security Officer von Kraken, berichtet, hätte der Forscher eine Schwachstelle in den Sicherheitssystemen der Einlagen (unfähig, verschiedene Zustände interner Überweisungen zu unterscheiden) hervorgehoben, die es den Nutzern ermöglicht, ihr Guthaben aufzublähen und mehr Coins abzuheben, als sie tatsächlich zur Verfügung haben. Die Börse hat sich sofort in Bewegung gesetzt, um das Problem zu lösen, und in nur 47 Minuten konnte ein Expertenteam den bug beheben.
Hier ist, was Percoco berichtet hat:
„Der Bug ermöglichte es einem böswilligen Angreifer, unter den richtigen Umständen, eine Einzahlung auf unserer Plattform zu starten und Gelder auf sein eigenes Konto zu erhalten, ohne die Einzahlung vollständig abzuschließen. Um klarzustellen, die Vermögenswerte der Kunden waren niemals gefährdet”
Bis hierhin alles normal, wenn da nicht die gleiche Sicherheitsfirma web3 wäre, in der der Forscher arbeitet, der Kraken kontaktiert hat. Bevor der Fehler offiziell gemeldet wurde, hätte sie mehrere Hacks auf der Plattform durchgeführt und dabei insgesamt 3 Millionen Dollar erbeutet.
Unmittelbar nach der Veröffentlichung des Beitrags von Percoco, hat die bekannte Prüfungsfirma Certik sofort die Verantwortung für den Vorfall übernommen und ihre entscheidende Rolle in der Angelegenheit offengelegt.
Certik hätte die Verteidigungsmechanismen von Kraken „getestet“, indem es einen groß angelegten Angriff durchführte und große Mengen an MATIC-Token von 3 verschiedenen Konten abgehoben hat, um dann die Spuren der Gelder über den Mixer Tornado Cash zu verwischen.
Wie vom Sicherheitsbeauftragten der Börse erklärt, hat Kraken nach der Behebung des Problems Certik gebeten, die Mittel zurückzugeben, aber sie hat sich zunächst geweigert.
Trotzdem besteht Certik darauf, dass seine Tätigkeit im Einklang mit den Prinzipien des „white hack” steht.
Es scheint, dass Certik die Rolle der 3 exploiter-Konten bei dem Vorfall nicht erwähnt hat, obwohl sie die Abhebungstests in den 3 Tagen vor der Kommunikation mit Kraken durchgeführt haben.
Der Sicherheitsforscher, der den Bug entdeckt hat, hätte eine beträchtliche Belohnung für das Auffinden einer großen Schwachstelle verlangt, die in einem schweren Hack hätte implodieren können, aber Kraken bestand darauf, dass er seine eigenen Mittel zurückhaben wollte.
Da die Gesellschaft für auditing sich geweigert hat, die Beute zurückzugeben, und es schien, als hätte sie versucht, die Beweise des Hacks zu verbergen, hat die Börse beschlossen, die Situation wie einen kriminellen Fall zu behandeln und die zuständigen Behörden und die Strafverfolgungsbehörden zu benachrichtigen.
Das Web3-Sicherheitsunternehmen hatte die Börse um eine Bounty-Prämie in Höhe des spekulierten Betrags gebeten, den dieser Fehler hätte verursachen können, wenn er nicht offengelegt worden wäre, was das Team der Handelsplattform in Rage versetzte.
Percoco hat auf seinem X-Profil kommentiert, was passiert ist, und zeigte seine ganze Ablehnung gegenüber dem Verhalten von Certik:
„Das ist kein white hacking, das ist Erpressung.“
Das Dementi von Certik: Gelder wurden zurückgegeben, obwohl einige Mitarbeiter vom Kraken-Team bedroht wurden
Certik, nachdem sie sich als das Unternehmen vorgestellt hatte, das die Schwachstelle in den Einlagensystemen entdeckt hatte, hat sofort die von Kraken erzählte Geschichte widerlegt und die Rolle des „White Hack“ sowie ihre positiven Absichten hervorgehoben.
Das Unternehmen hat enthüllt, dass es einen groß angelegten Hack im Wert von 3 Millionen Dollar durchgeführt hat, nur um die Verteidigung der Börse zu testen, hat aber ebenso betont, dass es niemals abgelehnt hat, die Beute zurückzugeben, sondern vielmehr sicherstellen wollte, dass alles korrekt ausgeführt wurde.
Certik sagte, sie sei erstaunt über das potenzielle negative Auswirkungen, die der Bug hätte verursachen können, aber vor allem darüber, dass die Alarme von Kraken nie ausgelöst wurden. Dies wurde in einem Beitrag erklärt:
„Millionen von Dollar können auf JEDES Kraken-Konto eingezahlt werden. Eine enorme Menge an Krypto (im Wert von über 1 M + USD) kann vom Konto abgehoben und in gültige Kryptos umgewandelt werden. Noch schlimmer, während der mehrtägigen Testphase wurden keine Warnungen aktiviert“.
Außerdem erklärte die Wirtschaftsprüfungsgesellschaft, dass ein Mitglied des Teams der Börse einen eigenen Forscher bedroht habe, den Betrag innerhalb eines unangemessen kurzen Zeitraums (6 Stunden) zurückzugeben, ohne jedoch eine Rückzahlungsadresse anzugeben.
Dies geschah, nachdem sich die beiden Unternehmen Tage nach dem Hack per Call kontaktierten, um eine Lösung zu finden und die Angelegenheit zu klären.
Es scheint, dass der Auslöser des Chaos der Betrag des bounty-Preises war, der von Kraken vorgeschlagen wurde und nicht als angemessen für den geleisteten Aufwand und den möglichen verhinderten Exploit angesehen wurde. Wie tatsächlich von einem Sprecher von Kraken gegenüber Coindesk berichtet wurde:
„Wir haben diese Forscher in gutem Glauben einbezogen und, im Einklang mit einem Jahrzehnt der Verwaltung eines Bug-Bounty-Programms, hatten wir eine beträchtliche Belohnung für ihre Bemühungen angeboten. Wir sind von dieser Erfahrung enttäuscht und arbeiten nun mit den Strafverfolgungsbehörden zusammen, um die Vermögenswerte von diesen Sicherheitsforschern zurückzuholen“.
Heute hat Certik einen weiteren Beitrag mit FAQs veröffentlicht, um seine Position weiter zu klären und alle Zweifel auszuräumen.
Das Sicherheitsunternehmen betont, dass es „konsequent“ bestätigt hat, dass es den gestohlenen Betrag zurückerstatten würde, und behauptet, dass nun alle Gelder wieder in den Händen von Kraken sind.
Diese Fonds wurden an den Absender in 734.19215 ETH, 29,001 USDT und 1021.1 XMR zurückgeschickt, während die Börse ausdrücklich darum gebeten hatte, 155818.4468 MATIC, 907400.1803 USDT, 475.5557871 ETH und 1089.794737 XMR zu senden, für einen Gesamtwert von etwa 100.000 Dollar.
Kraken bleibt fest bei seinem Konzept der Ethik des „white hacking“ und behauptet, dass das bullismo, das von Certik durchgeführt wird, als Erpressung identifiziert werden kann.
Das Bounty-Programm der Börse erfordert tatsächlich von Dritten, das Problem zu finden, den Mindestbetrag zu nutzen, der erforderlich ist, um den Fehler zu testen (ohne einen Hack von 3 Millionen Dollar durchzuführen), die Ressourcen zurückzugeben und Details zur Schwachstelle bereitzustellen.
