- CertiK hat eine Schwachstelle aufgedeckt und 3 Millionen US-Dollar erbeutet, bevor es dies an Kraken gemeldet hat.
- Kraken hat den Fehler nach der Warnung von CertiK schnell behoben.
- CertiK hat die Mittel nach einigen Verfahrensstreitigkeiten zurückgezahlt.
Kraken hat fast die gesamten 3 Millionen Dollar zurückgefordert, die während eines umstrittenen „Whitehat“-Hacks gestohlen wurden, der von der Blockchain-Sicherheitsfirma CertiK orchestriert wurde. Nick Percoco, Chief Security Officer von Kraken, bestätigt die Rückzahlung der Gelder, wobei nur ein kleiner Teil durch Transaktionsgebühren verloren geht.
Der Whitehat-Hack hat kritische Probleme bei den Praktiken ethischen Hackens und den Protokollen zur Offenlegung von Sicherheitslücken aufgezeigt.
Wie lief der Kraken-Whitehack-Hack ab?
Entsprechend der Chronologie der Ereignisse, detailliert von CertiKDie Saga begann, als CertiK eine schwerwiegende Schwachstelle im System von Kraken entdeckte, die es technisch versierten Personen ermöglichte, ihre Kontostände künstlich aufzublähen.
CertiK nutzte diesen Fehler aus und zog 3 Millionen Dollar aus Krakens Schatzkammer ab, um die Schwere der Schwachstelle zu beweisen. Obwohl CertiK das Problem bereits im Juni gemeldet hatte, handelte es erst, nachdem die Mittel gesichert waren. Dieser Schritt erntete erhebliche Kritik von Kraken und der gesamten Krypto-Community.
Kraken hat die Sicherheitslücke innerhalb weniger Stunden nach der Benachrichtigung behoben und sichergestellt, dass keine Kundenressourcen gefährdet wurden. Percoco betonte, dass die Sicherheitslücke umgehend gepatcht wurde, sodass eine Wiederholung unmöglich ist.
Trotz der schnellen Lösung warf die Art und Weise, wie CertiK seine Operation durchführte – insbesondere die Verzögerung bei der Rückzahlung der Gelder – ernsthafte Fragen hinsichtlich der Einhaltung der standardmäßigen Whitehat-Kopfgeldprotokolle auf.
CertiKs unorthodoxer „Whitehat“-Hack erntete Kritik
Die Unzufriedenheit von Kraken rührte daher, dass CertiK die etablierten Verfahren für Whitehat-Aktivitäten nicht befolgte.
Normalerweise melden White-Hat-Hacker Schwachstellen, ohne übermäßige Geldbeträge abzuheben, und geben den gesamten Betrag sofort zurück.
CertiK behielt die 3 Millionen US-Dollar jedoch ein, bis Kraken eine Schätzung des potenziellen Risikos vorlegte, eine Maßnahme, die Kraken als unnötig und unkooperativ erachtete.
CertiK verteidigte sein Vorgehen mit der Behauptung, der umfangreiche Rückzug sei entscheidend gewesen, um die Sicherheitsmaßnahmen und Warnsysteme von Kraken gründlich zu testen. Diese hätten laut CertiK selbst nach erheblichen Verlusten keinen Alarm ausgelöst.
Darüber hinaus behauptete CertiK, es habe stets die Absicht gehabt, die Gelder zurückzuzahlen, und warf dem Sicherheitsteam von Kraken vor, seine Mitarbeiter mit unrealistischen Rückzahlungsforderungen und nicht übereinstimmenden Kryptowährungsbeträgen unter Druck zu setzen.
Letztendlich wurden die Gelder zurückerstattet, allerdings in einer anderen Kryptowährung als dem von Kraken angegebenen Betrag.
Da Kraken keine Rückzahlungsadressen angegeben hat und der angeforderte Betrag nicht übereinstimmt, überweisen wir die Mittel auf Grundlage unserer Aufzeichnungen auf ein Konto, auf das Kraken Zugriff hat.
— CertiK (@CertiK) 19. Juni 2024
CertiK betonte, dass es für seine Aktionen nie eine Belohnung gefordert und sich ausschließlich darauf konzentriert habe, die Sicherheitslücke zu schließen.
Quelle: Coinlist.me
