Kraken durch Bug um fast 3 Millionen US-Dollar erleichtert
Kraken, eine bekannte Kryptowährungsbörse, hat kürzlich bekannt gegeben, dass ein Bug es Personen ermöglichte, Geld auf ihre Konten einzuzahlen, ohne die Einzahlung tatsächlich abzuschließen. Dieser Bug wurde ausgelnutzt, um fast 3 Millionen US-Dollar aus den Tresoren von Kraken zu erbeuten, bevor er behoben wurde. Der Chief Security Officer (CSO) von Kraken teilte Einzelheiten zu diesem Vorfall mit.
Entdeckung des Bugs
Am 9. Juni erhielt das Bug-Bounty-Programm von Kraken eine Warnung vor einem „extrem kritischen“ Bug. Diese Warnung wurde von einem Sicherheitsforscher gesendet, der einen schwerwiegenden Fehler bemerkte. Laut Nick Percoco, dem CSO von Kraken, ermöglichte dieser Bug jemandem, seinen Kontostand künstlich aufzublähen. Dies bedeutete, dass eine Einzahlung veranlasst und Gelder empfangen werden konnten, ohne den Einzahlungsvorgang abzuschließen.
Funktionsweise des Bugs
Der Bug war auf eine kürzliche Änderung im User-Experience (UX)-Design der Kraken-Plattform zurückzuführen. Der Fehler ermöglichte es, Konten gutzuschreiben, bevor die Einzahlungen von Vermögenswerten vollständig abgewickelt waren. Dies ermöglichte es Angreifern, vorübergehend „Vermögenswerte zu drucken“ auf ihren Konten. Percoco versicherte jedoch, dass keine Kundengelder gefährdet seien; das Problem betraf die eigenen Kassenbestände von Kraken.
Ausnutzung vor Fehlerbehebung
Kraken behob den Bug innerhalb weniger Stunden nach der Warnung. Eine Untersuchung ergab jedoch, dass drei Konten den Bug bereits innerhalb weniger Tage ausgenutzt hatten. Eines dieser Konten gehörte dem Sicherheitsforscher, der den Bug gefunden hatte. Diese Person gab an, den Fehler zu testen, indem sie ihrem Konto 4 US-Dollar gutschrieb. Anschließend reichte er einen Bug-Bounty-Bericht ein und forderte eine Belohnung.
Größere Ausnutzung durch Komplizen
Die Situation wurde ernster, als entdeckt wurde, dass der Forscher den Bug an zwei weitere Personen weitergegeben hatte. Diese Personen nutzten den Bug, um viel größere Summen, insgesamt fast 3 Millionen US-Dollar, aus den Tresoren von Kraken abzuheben. Percoco stellte klar, dass dieses Geld aus den Mitteln von Kraken stammte, nicht aus Kundengeldern.
Reaktion von Kraken
Kraken forderte die Forscher auf, die Gelder zurückzugeben und einen vollständigen Bericht über ihre Aktivitäten vorzulegen. Die Forscher weigerten sich jedoch, das Geld zurückzugeben, es sei denn, Kraken legte das potenzielle Ausmaß des Exploits offen. Percoco bezeichnete diese Forderung als Erpressung und erklärte, dass es sich nicht um einen Akt des White-Hat-Hackings handele.
Rechtliche Schritte und Sicherheitsmaßnahmen
Aufgrund des Verstoßes gegen seine Bug-Bounty-Bedingungen beschloss Kraken, den Fall als kriminell zu behandeln. Sie entschieden sich dafür, den Namen des beteiligten Forschungsunternehmens nicht bekannt zu geben, da sie der Meinung waren, dass es keine Anerkennung verdiene. Stattdessen arbeitete Kraken mit Strafverfolgungsbehörden zusammen, um die Situation zu bewältigen.
Bedeutung von Bug-Bounty-Programmen
Dieser Vorfall unterstreicht die Bedeutung von Bug-Bounty-Programmen bei der Identifizierung und Behebung von Sicherheitslücken. Bug-Bounty-Programme sollen Forscher belohnen, die Bugs finden und melden. Es zeigt jedoch auch die potenziellen Risiken auf, wenn Forscher nicht den ethischen Richtlinien folgen.
Schutz von Kryptowährungsbörsen
Kryptowährungsbörsen wie Kraken müssen ihre Sicherheitsmaßnahmen ständig verbessern, um sich vor solchen Exploits zu schützen. Dazu gehören gründliche Tests neuer Funktionen und eine schnelle Reaktion auf gemeldete Probleme. Auf diese Weise können sie ihre Plattformen schützen und das Vertrauen ihrer Nutzer bewahren.
Der jüngste Bug-Exploit-Vorfall von Kraken erinnert an die Herausforderungen, mit denen Kryptowährungsbörsen konfrontiert sind. Kraken, dem fast 3 Millionen US-Dollar aus seinen Tresoren gestohlen wurden, handelte schnell, um den Bug zu beheben, und geht nun rechtlich gegen die Verantwortlichen vor. Dieser Fall unterstreicht die Bedeutung robuster Sicherheitsmaßnahmen und ethischer Praktiken in der Kryptoindustrie.
