Die Kryptobörse Kraken hat enthüllt, dass ein Forschungsteam im Besitz von digitalen Vermögenswerten der Plattform im Wert von 3 Millionen US-Dollar ist, die es sich durch eine kürzlich entdeckte Sicherheitslücke angeeignet hat.
Ein anonymer, selbsternannter „Sicherheitsforscher“ fand einen kritischen Sicherheitsfehler und alarmierte die Kryptobörse am 9. Juni über diesen.
Allerdings haben zwei Konten, die mit dem Sicherheitsforscher in Verbindung stehen, den Fehler ausgenutzt, um digitale Vermögenswerte im Wert von über 3 Millionen US-Dollar abzuheben, so Nicholas Percoco, Chief Security Officer von Kraken.
Nach der millionenschweren Abhebung fordert der Sicherheitsforscher eine Belohnung für die gestohlenen Gelder, schrieb Percoco am 19. Juni in einem X-Post:
„Stattdessen verlangten sie ein Telefonat mit ihrem Team (d.h. ihren Vertriebsmitarbeitern) und haben sich bisher nicht bereit erklärt, Gelder zurückzuerstatten, bis wir einen spekulativen Betrag nennen, den dieser Fehler hätte verursachen können, falls sie ihn nicht offengelegt hätten. Das ist kein White-Hat-Hacking, das ist Erpressung!“
Die Krypto-Vermögen wurden direkt aus den Reserven von Kraken gestohlen. Die Börse behauptet, dass keine Nutzergelder gefährdet waren.
Kraken wird seine Bug-Bounty-Programme dennoch fortsetzen, um die Sicherheit der Börse zu gewährleisten und arbeitet mit den Strafverfolgungsbehörden zusammen, um die gestohlenen Gelder wiederzuerlangen, so ein Kraken-Sprecher gegenüber Cointelegraph:
„Wir sind enttäuscht über diese Erfahrung und arbeiten nun mit den Strafverfolgungsbehörden zusammen, um die Vermögenswerte von diesen Sicherheitsforschern zurückzubekommen.“
Keine White-Hat-Hacker?
Eines der drei Kraken-Konten, die mit dem Exploit in Verbindung stehen, hat zuvor die KYC-Verifizierung (Know Your Customer) für eine Person abgeschlossen, die behauptet, ein Sicherheitsforscher zu sein, dessen Identität jedoch nicht bekannt ist.
Die Person, die den Fehler entdeckt hat, hat den Fehler zunächst mit einem Krypto-Transfer im Wert von 4 US-Dollar bewiesen, was ausgereicht hätte, um den Fehler zu beweisen und „beträchtliche Belohnungen“ aus dem Bounty-Programm von Karken zu erhalten.
Die Person gab den Fehler jedoch an zwei andere Konten weiter, die auf betrügerische Weise zusammen fast 3 Millionen US-Dollar von ihren Kraken-Konten abzogen.
Laut Percoco handelt es sich bei diesen Aktionen um Erpressung und nicht um ethisches Hackerverhalten:
„Im Sinne der Transparenz legen wir diesen Fehler heute gegenüber der Branche offen. Man wirft uns vor, unvernünftig und unprofessionell zu sein, weil wir von 'White Hat Hackern' die Rückgabe dessen verlangen, was sie uns gestohlen haben. Unglaublich.“
Melde dich bei unseren Sozialen Medien an, um nichts zu verpassen: X, YouTube, Instagram und Telegram – aktuelle Nachrichten, Analysen, Expertenmeinungen und Interviews mit Fokus auf die DACH-Region.
