Sicherheitsforscher stehlen fast 3 Millionen Dollar in Krypto von Kraken

Die Krypto-Börse Kraken gab am Mittwoch bekannt, dass fast 3 Millionen Dollar in Kryptowährung aus ihren Wallets gestohlen wurden, aufgrund der Ausnutzung einer Zero-Day-Fehlersicherheit, die nun behoben wurde.

Nick Percoco, Chief Security Officer von Kraken, wandte sich über die Social-Media-Plattform X (ehemals Twitter) an die Öffentlichkeit, um bekannt zu geben, dass sie am 9. Juni 2024 eine „Bug Bounty Program“-Benachrichtigung von einem Sicherheitsforscher erhalten hatten, der sie über eine „extrem kritische“ Schwachstelle informierte, die es jedem ermöglichte, den Wert ihres Kraken-Kontostands künstlich zu erhöhen.

Bei der Untersuchung des Berichts stellte Kraken einen isolierten Fehler fest, der es Bedrohungsakteuren unter den richtigen Umständen ermöglichte, eine Einzahlung auf ihrer Plattform zu initiieren und Gelder auf ihrem Konto zu erhalten, selbst wenn die Einzahlung fehlschlug.

„Um klarzustellen: Die Vermögenswerte der Kunden waren niemals in Gefahr. Ein böswilliger Angreifer konnte jedoch effektiv Vermögenswerte auf seinem Kraken-Konto für eine gewisse Zeit drucken“, erklärte Percoco.

Percoco sagt, dass das Sicherheitsteam von Kraken diese Schwachstelle als kritisch einstufte und das Problem innerhalb einer Stunde löste, um weitere Verluste zu verhindern. Das Team testete auch die Lösung gründlich, um gegen ähnliche Probleme in der Zukunft gewappnet zu sein.

„Unser Team fand einen Fehler, der sich aus einer kürzlichen UX-Änderung ergab, die Kundenkonten umgehend gutschreiben würde, bevor ihre Vermögenswerte geklärt wurden – was es den Kunden ermöglichte, Krypto-Märkte in Echtzeit zu handeln. Diese UX-Änderung wurde nicht gründlich gegen diesen spezifischen Angriffsvektor getestet“, fügte Percoco hinzu.

Nach der Behebung des Fehlers stellte das Team von Kraken fest, dass drei Konten bereits innerhalb weniger Tage den Zero-Day-Fehler ausgenutzt hatten und insgesamt fast 3 Millionen Dollar aus der Schatzkammer der Börse abgehoben hatten.

Kraken Sicherheitsupdate: Am 9. Juni 2024 erhielten wir eine Benachrichtigung über das Bug Bounty-Programm von einem Sicherheitsforscher. Zunächst wurden keine Einzelheiten bekannt gegeben, aber ihre E-Mail behauptete, einen „extrem kritischen“ Fehler gefunden zu haben, der es ihnen ermöglichte, ihr Guthaben auf unserer Plattform künstlich aufzublähen. — Nick Percoco (@c7five) 19. Juni 2024

Bei weiteren Untersuchungen fanden sie heraus, dass ein Konto mit einer Person verknüpft war, die den KYC-Verifizierungsprozess von Kraken abgeschlossen hatte und behauptete, ein Sicherheitsforscher zu sein. Diese Person testete zunächst den Fehler und krediterte ihr Konto mit 4 Dollar in Krypto, was ausgereicht hätte, um den Fehler zu beweisen und durch das Bug Bounty-Programm von Kraken belohnt zu werden.

Percoco sagt jedoch, dass der „Sicherheitsforscher“ stattdessen den Zero-Day-Fehler zwei anderen Personen mitteilte, die mit dem Forscher verbunden waren und betrügerisch weitere 3 Millionen Dollar von ihren Kraken-Konten abgehoben hatten. Er betonte, dass diese gestohlenen Gelder aus den Schatzkammern von Kraken stammten und keine anderen Kundenkonten betroffen waren.

Da die Transaktionen der beiden anderen Personen im ursprünglichen Bug Bounty-Bericht nicht vollständig offengelegt wurden, kontaktierte das Team von Kraken den Forscher, um weitere Einzelheiten zu ihren Aktivitäten zu erhalten. Percoco sagt jedoch, dass die Forscher sich weigerten, die Krypto zurückzugeben oder Informationen über den Fehler zu teilen, was eine gängige Praxis für jedes Bug Bounty-Programm ist.

„Stattdessen forderten sie einen Anruf mit ihrem Geschäftsentwicklungsteam (d.h. ihren Vertriebsmitarbeitern) und haben sich nicht bereit erklärt, Gelder zurückzugeben, bis wir einen spekulierten Geldbetrag angeben, den dieser Fehler verursacht haben könnte, wenn sie ihn nicht offengelegt hätten. Das ist kein White-Hat-Hacking, das ist Erpressung!“, behauptete Percoco.

Die Reaktion von Kraken auf den Vorfall war transparent. Percoco hob die Bedeutung ethischen Verhaltens in der Cybersicherheitsgemeinschaft hervor und sagte: „Als Sicherheitsforscher wird Ihre Lizenz, ein Unternehmen zu ‚hacken‘, durch die einfachen Regeln des Bug Bounty-Programms, an dem Sie teilnehmen, ermöglicht. Diese Regeln zu ignorieren und das Unternehmen zu erpressen, entzieht Ihnen Ihre ‚Lizenz zum Hacken‘.“

Percoco sagt, dass Kraken die Identitäten der Forscher nicht offenlegt, da „sie keine Anerkennung für ihr Handeln verdienen“. Darüber hinaus behandelt Kraken diesen Fall nun als strafrechtliche Angelegenheit und koordiniert sich mit Strafverfolgungsbehörden, um die gestohlenen Gelder zurückzuerhalten.

„Wir haben diese Forscher in gutem Glauben engagiert und im Einklang mit einem Jahrzehnt der Durchführung eines Bug Bounty-Programms eine beträchtliche Belohnung für ihre Bemühungen angeboten. Wir sind von dieser Erfahrung enttäuscht und arbeiten nun mit Strafverfolgungsbehörden zusammen, um die Vermögenswerte von diesen Sicherheitsforschern zurückzuholen“, sagte ein Sprecher von Kraken in einer Erklärung.