Die Kryptobörse Kraken hat nach dem Fiasko um einen sogenannten „Bug Bounty Exploit“ nun endlich ihre „gestohlenen“ Gelder zurückbekommen.
Kraken bestätigte die Rückgabe der gestohlenen Krypto-Vermögen im Wert von fast 3 Millionen US-Dollar und verkündete damit zugleich das Ende der Saga zwischen der Kryptobörse und der Cybersicherheitsfirma CertiK, die am 9. Juni begann.
Die Rückerstattung der Gelder, abzüglich der Transaktionsgebühren, wurde von Nicholas Percoco, dem Chief Security Officer von Kraken, in einem X-Post vom 20. Juni bestätigt:
„Update: Wir können jetzt bestätigen, dass die Gelder zurückgegeben wurden (abzüglich eines kleinen Betrages, der durch Gebühren verloren ging).“
Der CSO von Kraken legte die fehlenden Gelder im Wert von 3 Millionen US-Dollar erstmals am 19. Juni offen, wobei er gleichzeitig vermeldete, dass ein „Sicherheitsforscher“ diese vermeintlich böswillig aus der Reserve der Kryptobörse abgezogen habe, nachdem dieser einen bestehenden Fehler entdeckt hatte.
Kraken behauptete, von dem Sicherheitsforscher erpresst worden zu sein bzw. dass dieser sich weigerte, die Gelder zurückzugeben und dafür eine Belohnung sowie ein Gespräch mit dem Management der Börse forderte.
CertiK widerspricht
Kurz nach der Bekanntmachung von Kraken identifizierte sich das Blockchain-Sicherheitsunternehmen CertiK öffentlich als der „Sicherheitsforscher“, der laut der Kryptobörse 3 Millionen US-Dollar an digitalen Vermögenswerten gestohlen hatte.
In einem X-Post vom 19. Juni gab CertiK an, Kraken über den Exploit informiert zu haben, der es den Sicherheitsforschern ermöglichte, Millionen von Dollar von den Konten der Börse zu entfernen. CertiK behauptete darin allerdings auch, anschließend vom Team der Börse bedroht worden zu sein:
„Nach anfänglichen Erfolgen bei der Identifizierung und Behebung der Schwachstelle hat das Sicherheitsteam von Kraken einzelnen CertiK-Mitarbeitern gedroht, eine FALSCHE Menge an Krypto in einer UNMÖGLICHEN Zeit zurückzuzahlen, und OHNE die jeweiligen Rückzahlungsadressen anzugeben.“
Das Sicherheitsunternehmen hat die zeitliche Abfolge der Ereignisse veröffentlicht, die mit der Identifizierung des Exploits am 5. Juni beginnt und mit der Behauptung endet, dass Kraken einen CertiK-Mitarbeiter am 18. Juni bedroht hat. In einer Erklärung an Cointelegraph erklärte CertiK, es plane, die Gelder „auf ein Konto zu überweisen, auf das Kraken zugreifen kann“.
Wieso 3 Millionen?
Kraken-CSO Percoco betonte anfangs, dass eine erste „böswillige“ Überweisung im Wert von nur 4 US-Dollar ausgereicht hätte, um den Fehler zu beweisen und „beträchtliche Belohnungen“ aus dem Karken-Bounty-Programm zu erhalten.
Der Sicherheitsforscher, der sich später als CertiK zu erkennen gab, hatte jedoch fast 3 Millionen US-Dollar auf seine Kraken-Konten transferiert.
In einem Beitrag nach der Rückgabe der 3 Millionen US-Dollar entgegnete CertiK jedoch, dass die Millionensumme notwendig war, um die Grenzen der Börse zu testen:
„Wir wollten die Grenzen der Schutz- und Risikokontrollen von Kraken testen. Nach mehreren Tests über mehrere Tage und Kryptowährungen im Wert von fast 3 Millionen US-Dollar wurden keine Alarme ausgelöst und wir hatten die Grenze immer noch nicht erreicht.“
Darüber hinaus behauptet CertiK, dass es ursprünglich keine Belohnung aus dem Bounty-Programm gefordert hat, dies jedoch von der Börse erwähnt wurde:
„Wir hatten eine mögliche Belohnung nie ins Gespräch gebracht. Kraken erwähnte dies zuerst, woraufhin wir antworteten, dass das Bounty nicht das vorrangige Thema sei und wir eher sicherstellen wollten, dass das Problem behoben wird.“
CertiK hob abschließend hervor, dass keine Gelder von Kraken-Nutzern gefährdet waren, da die erbeuteten Gelder nur „auf dem Papier“ existierten.
Melde dich bei unseren Sozialen Medien an, um nichts zu verpassen: X, YouTube, Instagram und Telegram – aktuelle Nachrichten, Analysen, Expertenmeinungen und Interviews mit Fokus auf die DACH-Region.