Sicherheit

Streit um Bug Bounty: Kraken wirft Certik Erpressung in Millionenhöhe vor


Kraken behauptet, von einem zunächst nicht näher benannten Sicherheitsunternehmen erpresst worden zu sein. Demnach gelang es den Spezialisten einen Fehler auf der Plattform auszunutzen, um Millionenbeträge abzuheben. Wenige Stunden später, nachdem sich Krakens CSO Nick Percoco zu dem Vorfall geäußert hatte, bezog Certik dazu Stellung und lüftete das Geheimnis, welches Unternehmen damit gemeint war.

Laut Percoco wurde Kraken am 9. Juni von einem Team von Sicherheitsforschern im Rahmen eines Bug-Bounty-Programms über eine kritische Sicherheitslücke informiert. Nach Überprüfung des Problems identifizierte das Sicherheitsteam von Kraken einen Fehler, der es einem böswilligen Akteur ermöglicht hätte, digitale Assets auf sein Kraken-Konto zu verbuchen, ohne sie tatsächlich eingezahlt zu haben.

Sie sehen gerade einen Platzhalterinhalt von X. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.

Mehr Informationen

Der Fehler wurde laut der Darstellung Percocos innerhalb einer Stunde nach der Identifizierung behoben. Nachdem man Nachforschungen angestellt hatte, bemerkte man, dass drei Kundenkonten den Bug innerhalb von wenigen Tagen ausgenutzt hatten. Weiterhin behauptet Percoco, dass eines dieser Konten einem Teammitglied des beschuldigten Sicherheitsunternehmens gehört.

Der Security Researcher, der den Bug gemeldet hatte, soll sich lediglich mit 4 US-Dollar in Kryptowährung bereichert haben, was laut Percoco ausgereicht hätte, um einen Bug-Bounty-Bericht zu erstellen und eine Belohnung für den Fund zu erhalten. Wenn man der Darstellung Percocos glaubt, dann soll diese Person aber zwei Unbekannte informiert haben, die dann gemeinsam knapp 3 Millionen US-Dollar aus der Kasse von Kraken abgriffen.

Als Kraken um eine vollständige Darstellung ihrer Aktivitäten bat und die Rückgabe der Gelder arrangieren wollte, wurde dies angeblich verweigert. Stattdessen hätte man ein Gespräch mit dem Vertrieb von Kraken gefordert, um eine hohe Summe auszuhandeln, die dem theoretischen Schaden, den der Bug ohne Meldung hätte anrichten können, gerecht geworden wäre.

Percoco nennt dieses Verhalten Erpressung und gab bekannt, dass man bereits mit der Polizei im Gespräch ist. Weiterhin stellte er klar, dass alle Kundenkonten auf Kraken trotz des Verlusts vollständig gedeckt sind.

Certik äußerte sich wenige Stunden später

Obgleich Percoco es durchgehend vermied, einen Namen zu nennen, meldete sich das Unternehmen Certik ebenfalls via Social Media mit einer Gegendarstellung zu Wort.

Das Sicherheitsunternehmen bestätigte den Fund und ergänzte, dass die Sicherheitssysteme von Kraken scheinbar keine Warnung ausgelöst hätten. Insbesondere dann nicht, wenn Kryptowährungen von der Börse ausgezahlt wurden, obgleich das betroffene Kundenkonto keine echte Deckung aufwies. Nachdem man mit Kraken ins Gespräch gekommen sei, soll Kraken die Mitarbeiter von Certik angeblich bedroht haben. Kraken habe die Rückzahlung eines unstimmigen Betrags in einem unangemessenen Zeitraum gefordert haben, ohne entsprechende Zahlungsadressen bereitzustellen.

Certik versucht die Darstellung der Ereignisse durch eine Timeline zu untermauern. Die Historie von Certik zeigt, dass das Unternehmen zwischen dem 5. Juni und 8. Juni insgesamt 590.200 MATIC-Token von Kraken abgehoben hat. Gleichzeitig werden jedoch zwischen dem 8. Juni und dem 9. Juni weitere Transaktionen erwähnt, die als „hoch“ bezeichnet werden, ohne konkrete Beträge zu nennen.

Sie sehen gerade einen Platzhalterinhalt von X. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.

Mehr Informationen

Wie in solchen Fällen üblich, fing auch die breite Community an, ihre eigenen Nachforschungen anzustellen. Eine erste Blockchain-Analyse deutet darauf hin, dass Certik einige erbeutete MATIC-Token in den Ethereum-Mixer Tornado Cash eingezahlt haben könnte. Dieses Verhalten wäre mehr als unüblich, weil Teilnehmer an einem Bug-Bounty-Programm keinen Bedarf haben, ihre Spuren zu verschleiern. Zudem steht Tornado Cash auf der Sanktionsliste des OFAC. Weil Certik ein US-Unternehmen ist, sind solche Transaktionen automatisch schwere Straftaten, wenn sie tatsächlich von dem Unternehmen vorgenommen worden sind.

Sie sehen gerade einen Platzhalterinhalt von X. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.

Mehr Informationen

Community fällt vernichtendes Urteil

Die Sachlage deutet darauf hin, dass Certik sich ordentlich verrannt hat und wenigstens einige Mitarbeiter Straftaten begangen haben könnten. Angesichts der verdächtigen Transaktionen und der hohen Beträge fällte die Krypto-Community auf Social Media ein vernichtendes Urteil, obgleich Certik öffentlich machte, dass alles an Kraken zurücküberwiesen wurde. Man sei sich lediglich bezüglich des Gesamtbetrags uneins.

Sie sehen gerade einen Platzhalterinhalt von X. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.

Mehr Informationen

Adam Cochran vom Venture-Capital Cinneamhain Ventures nannte das Verhalten von Certik kriminell.

Sie sehen gerade einen Platzhalterinhalt von X. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.

Mehr Informationen

Während andere User auf X der Situation mit Humor begegnen.

Sie sehen gerade einen Platzhalterinhalt von X. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.

Mehr Informationen

Unabhängig davon, wie sich die Situation weiter entwickeln wird, scheint jetzt schon festzustehen, dass der Ruf von Certik innerhalb der Branche schwer angeschlagen ist.

Newsletter abonnieren

Don't miss out!
Invalid email address

Das könnte dich auch interessieren

Das FBI warnt: Nordkorea geht auf die Jagd nach Kryptowährungen

Robert Steinadler

WazirX: Indische Börse verliert 230 Millionen USD durch Hack

Robert Steinadler

BtcTurk erleidet Hack: 55 Millionen US-Dollar Schaden

Robert Steinadler