Kraken behauptet, von einem zunächst nicht näher benannten Sicherheitsunternehmen erpresst worden zu sein. Demnach gelang es den Spezialisten einen Fehler auf der Plattform auszunutzen, um Millionenbeträge abzuheben. Wenige Stunden später, nachdem sich Krakens CSO Nick Percoco zu dem Vorfall geäußert hatte, bezog Certik dazu Stellung und lüftete das Geheimnis, welches Unternehmen damit gemeint war.
Laut Percoco wurde Kraken am 9. Juni von einem Team von Sicherheitsforschern im Rahmen eines Bug-Bounty-Programms über eine kritische Sicherheitslücke informiert. Nach Überprüfung des Problems identifizierte das Sicherheitsteam von Kraken einen Fehler, der es einem böswilligen Akteur ermöglicht hätte, digitale Assets auf sein Kraken-Konto zu verbuchen, ohne sie tatsächlich eingezahlt zu haben.
Der Fehler wurde laut der Darstellung Percocos innerhalb einer Stunde nach der Identifizierung behoben. Nachdem man Nachforschungen angestellt hatte, bemerkte man, dass drei Kundenkonten den Bug innerhalb von wenigen Tagen ausgenutzt hatten. Weiterhin behauptet Percoco, dass eines dieser Konten einem Teammitglied des beschuldigten Sicherheitsunternehmens gehört.
Der Security Researcher, der den Bug gemeldet hatte, soll sich lediglich mit 4 US-Dollar in Kryptowährung bereichert haben, was laut Percoco ausgereicht hätte, um einen Bug-Bounty-Bericht zu erstellen und eine Belohnung für den Fund zu erhalten. Wenn man der Darstellung Percocos glaubt, dann soll diese Person aber zwei Unbekannte informiert haben, die dann gemeinsam knapp 3 Millionen US-Dollar aus der Kasse von Kraken abgriffen.
Als Kraken um eine vollständige Darstellung ihrer Aktivitäten bat und die Rückgabe der Gelder arrangieren wollte, wurde dies angeblich verweigert. Stattdessen hätte man ein Gespräch mit dem Vertrieb von Kraken gefordert, um eine hohe Summe auszuhandeln, die dem theoretischen Schaden, den der Bug ohne Meldung hätte anrichten können, gerecht geworden wäre.
Percoco nennt dieses Verhalten Erpressung und gab bekannt, dass man bereits mit der Polizei im Gespräch ist. Weiterhin stellte er klar, dass alle Kundenkonten auf Kraken trotz des Verlusts vollständig gedeckt sind.
Certik äußerte sich wenige Stunden später
Obgleich Percoco es durchgehend vermied, einen Namen zu nennen, meldete sich das Unternehmen Certik ebenfalls via Social Media mit einer Gegendarstellung zu Wort.
Das Sicherheitsunternehmen bestätigte den Fund und ergänzte, dass die Sicherheitssysteme von Kraken scheinbar keine Warnung ausgelöst hätten. Insbesondere dann nicht, wenn Kryptowährungen von der Börse ausgezahlt wurden, obgleich das betroffene Kundenkonto keine echte Deckung aufwies. Nachdem man mit Kraken ins Gespräch gekommen sei, soll Kraken die Mitarbeiter von Certik angeblich bedroht haben. Kraken habe die Rückzahlung eines unstimmigen Betrags in einem unangemessenen Zeitraum gefordert haben, ohne entsprechende Zahlungsadressen bereitzustellen.
Certik versucht die Darstellung der Ereignisse durch eine Timeline zu untermauern. Die Historie von Certik zeigt, dass das Unternehmen zwischen dem 5. Juni und 8. Juni insgesamt 590.200 MATIC-Token von Kraken abgehoben hat. Gleichzeitig werden jedoch zwischen dem 8. Juni und dem 9. Juni weitere Transaktionen erwähnt, die als „hoch“ bezeichnet werden, ohne konkrete Beträge zu nennen.
Wie in solchen Fällen üblich, fing auch die breite Community an, ihre eigenen Nachforschungen anzustellen. Eine erste Blockchain-Analyse deutet darauf hin, dass Certik einige erbeutete MATIC-Token in den Ethereum-Mixer Tornado Cash eingezahlt haben könnte. Dieses Verhalten wäre mehr als unüblich, weil Teilnehmer an einem Bug-Bounty-Programm keinen Bedarf haben, ihre Spuren zu verschleiern. Zudem steht Tornado Cash auf der Sanktionsliste des OFAC. Weil Certik ein US-Unternehmen ist, sind solche Transaktionen automatisch schwere Straftaten, wenn sie tatsächlich von dem Unternehmen vorgenommen worden sind.
Community fällt vernichtendes Urteil
Die Sachlage deutet darauf hin, dass Certik sich ordentlich verrannt hat und wenigstens einige Mitarbeiter Straftaten begangen haben könnten. Angesichts der verdächtigen Transaktionen und der hohen Beträge fällte die Krypto-Community auf Social Media ein vernichtendes Urteil, obgleich Certik öffentlich machte, dass alles an Kraken zurücküberwiesen wurde. Man sei sich lediglich bezüglich des Gesamtbetrags uneins.
Adam Cochran vom Venture-Capital Cinneamhain Ventures nannte das Verhalten von Certik kriminell.
Während andere User auf X der Situation mit Humor begegnen.
Unabhängig davon, wie sich die Situation weiter entwickeln wird, scheint jetzt schon festzustehen, dass der Ruf von Certik innerhalb der Branche schwer angeschlagen ist.
