Kraken vs. CertiK: Wer hat nach der 3-Millionen-Dollar-Exploit-Saga Recht?

Als Forscher mit Erfahrung in der Krypto- und Cybersicherheitsbranche finde ich den Kraken-CertiK-Vorfall sowohl faszinierend als auch besorgniserregend. Obwohl es den Anschein hat, dass CertiK kritische Schwachstellen in Krakens Systemen entdeckt hat, haben die Methoden, mit denen sie diese Schwachstellen testeten, heftige Debatten ausgelöst.


Als Sicherheitsanalyst würde ich Krakens Sichtweise so interpretieren, dass Certik zu aggressiv gehandelt hat. Certik behauptet jedoch, dass ihre umfangreichen Rückzugsmaßnahmen unerlässlich waren, um das Ausmaß des vorliegenden Problems genau einzuschätzen.

Letzte Woche enthüllte Kraken, dass Sicherheitsexperten aufgrund einer erheblichen Schwachstelle ihre gemeldeten Guthaben fälschlicherweise erhöhen und etwa 3 Millionen US-Dollar ungerechtfertigt abheben konnten.

Am 9. Juni 2024 erhielten wir eine Benachrichtigung von einem Sicherheitsforscher in unserem Bug-Bounty-Programm. Zunächst gaben sie keine Details preis, behaupteten jedoch, einen „höchst kritischen“ Fehler entdeckt zu haben, der es ihnen ermöglichte, ihren Kontostand auf unserer Plattform ungerechtfertigt zu erhöhen.

– Nick Percoco (@c7five) 19. Juni 2024

Als Analyst fand ich den Vorfall rund um den Krypto-Austausch und die Interaktion des Cybersicherheitsunternehmens ziemlich außergewöhnlich. Diese ungewöhnliche Situation löste eine hitzige verbale Konfrontation zwischen den beiden Parteien aus.

Nick Percoco, der oberste Sicherheitsbeauftragte bei Kraken, gab zunächst die Entdeckung einer Schwachstelle bekannt, die es böswilligen Benutzern ermöglichte, unrechtmäßig Gelder auf ein Konto zu fälschen.

Als Forscher erlebte ich einen Vorfall, bei dem es 47 Minuten dauerte, die ersten Symptome zu behandeln, gefolgt von mehreren Stunden, um das Problem vollständig zu lösen. Dieser Prozess schien typisch und standardmäßig in meiner Branche zu sein.

Percoco fügte hinzu, dass der Sicherheitsforscher zwei Kollegen über das Problem informiert habe und es ihnen dadurch ermöglicht habe, Firmengelder in Millionenhöhe zu veruntreuen.

Kraken verlangte Informationen darüber, wie der Exploit durchgeführt wurde und zielte darauf ab, die Gelder vollständig wiederherzustellen, behauptete jedoch, dass ihre Bemühungen von der Börse abgelehnt wurden.

„Anstatt das Geld zurückzuerstatten, bestanden sie darauf, mit ihrem Geschäftsentwicklungsteam zu sprechen, und haben dem nicht zugestimmt, bis wir einen geschätzten Betrag für den Schaden angeben, den dieser Fehler verursacht hätte, wenn er nicht offengelegt worden wäre. Das ist nicht ethisch.“ Hacking; es ist Erpressung.“

Nick Percoco

Percoco argumentierte, dass die Forscher die beabsichtigten Grenzen des Bug-Bounty-Programms überschritten hätten, indem sie überschüssige Informationen extrahierten, es versäumten, eine funktionierende Demonstration vorzulegen, und die Rückerstattung des zugesprochenen Geldes verzögerten.

Als Analyst habe ich über die aktuelle Situation nachgedacht. Könnte es sein, dass ein einst ethischer Hacker vom Weg abgekommen war und nun böswillige Aktivitäten gegen Kraken verübte? Oder versuchte vielleicht jemand, Geld von der Börse zu erpressen, indem er drohte, ihren Betrieb zu stören? Alternativ hätte es sich auch um eine rein strafrechtliche Angelegenheit handeln können. Unabhängig von der Motivation war es entscheidend, mehr Informationen zu sammeln und die möglichen Auswirkungen auf Kraken und seine Benutzer abzuschätzen.

CertiK macht Fortschritte

Die Geschichte nimmt eine unerwartete Wendung. Sie haben vielleicht gedacht, dass der Plan von einem klugen Teenager ausgeheckt wurde, der sich in ihrem Schlafzimmer versteckt hielt. In Wirklichkeit wurde es von CertiK durchgeführt – einer prominenten Persönlichkeit in der Web3-Prüfungsgemeinschaft.

Drei Stunden nach Percocos Beitrag über X veröffentlichte das Unternehmen seinen Bericht über die Ereignisse.

Vor kurzem hat CertiK mehrere große Schwachstellen in der KrakenFX-Börse aufgedeckt, deren Ausnutzung zu finanziellen Verlusten in Höhe von Hunderten Millionen Dollar führen könnte. Die Probleme wurden ursprünglich im Einzahlungssystem von KrakenFX entdeckt, wo es möglicherweise nicht effektiv zwischen verschiedenen internen Transaktionen unterscheiden konnte.

– CertiK (@CertiK), 19. Juni 2024

Mehrere Tage hintereinander konnten bei den internen Tests von Kraken keine Probleme festgestellt werden, was dazu führte, dass das Sicherheitsteam erst Maßnahmen ergriff, nachdem es über die Schwachstelle informiert wurde.

„Nach dem anfänglichen Erfolg bei der Behebung und Behebung der identifizierten Schwachstelle hat das Sicherheitsteam von Kraken Berichten zufolge bestimmte Mitarbeiter von CertiK aufgefordert, innerhalb einer ungerechtfertigt kurzen Frist eine inkonsistente Menge Kryptowährung zurückzuzahlen, ohne Rückzahlungsadressen offenzulegen.“

CertiK

CertiK forderte Kraken weiterhin auf, „jegliche Drohungen gegen White-Hat-Hacker einzustellen“.

Einen Tag später folgte ein Thread, in dem Fragen zu seiner Forschung beantwortet wurden.

1. Waren bei unseren jüngsten CertiK-Kraken-Untersuchungen die Gelder echter Nutzer betroffen?

– CertiK (@CertiK), 20. Juni 2024

Ich möchte klarstellen, dass bei dem jüngsten Vorfall kein Kunde von Kraken finanzielle Verluste erlitten hat. CertiK hielt seinerseits an seinem Engagement fest und stellte die Rückzahlung der Mittel sicher. Der einzige Streitpunkt war der genaue Betrag, den die Börse schuldete.

Das Unternehmen begründete die Entscheidung, den Fehler in so großem Umfang auszunutzen, mit folgenden Worten:

„Unser Ziel ist es, die Schutzmaßnahmen und Risikokontrollen von Kraken auf ihre maximale Kapazität zu bringen. Nach mehreren Tagen und fast drei Millionen Dollar an Kryptowährungstransaktionen haben wir immer noch keine Reaktion vom System erhalten, sodass wir uns nicht sicher sind, woher diese kommt.“ Grenze liegt.“

CertiK

Als Analyst habe ich die Situation zwischen CertiK und Kraken genau untersucht. Es scheint, dass CertiK von Kraken eine Klärung der potenziellen Verluste verlangt hat, die einem betrügerischen Akteur entstehen könnten, wenn seine böswilligen Aktivitäten unkontrolliert fortgesetzt würden.

Das Cybersicherheitsunternehmen behauptete, dass ein Bug-Bounty-Programm nicht ganz oben auf seiner Agenda stehe und alle Deals im Zusammenhang mit seinen Testaktivitäten öffentlich zugänglich geworden seien.

Ein allmächtiger Wortkrieg

Bei X gab es ziemliche Meinungsverschiedenheiten darüber, wer Recht und wer Unrecht hat.

Eine klarere und verständlichere Art, diesen Satz auszudrücken, könnte sein: „Die wichtige Frage ist zu verstehen, warum eine so große Summe bei Tests in einer Position verwendet wurde, in der Vertrauen an erster Stelle steht. Es wäre ratsam, vorher einen Anwalt zu konsultieren.“ Ich werde weiterhin weiter posten.“

– Seeb $LSS BULL (@crypto_seeb) 19. Juni 2024

Drei Millionen Dollar sind angesichts der immensen Folgen eines Insolvenz-Hacks unbedeutend. Die Tatsache, dass Krakens Doppel-L-Schwachstelle öffentlich wurde, anstatt von anonymen Benutzern stillschweigend angegangen zu werden, hat die Situation erheblich eskaliert.

– everhusk (@everhusk) 19. Juni 2024

Als Analyst kann ich die Begründung von CertiK wie folgt umformulieren: Um die Wirksamkeit der internen Flags von Kraken sicherzustellen, musste ich im Rahmen meines gründlichen Prüfungsprozesses massive Abhebungen veranlassen.

Die jüngste Meinungsverschiedenheit zwischen Unternehmen in der Kryptowährungsbranche, die offenbar extern beigelegt wurde, offenbart grundlegende Spannungen und Spannungen. Diese Spannung besteht nicht nur zwischen den Unternehmen selbst, sondern auch zwischen ihnen und den Cybersicherheitsspezialisten, die sich um die Gewährleistung ihrer Sicherheit bemühen.

Als Forscher, der die ethischen Grenzen des White-Hat-Hackings untersucht, denke ich über die Notwendigkeit eines einheitlicheren Konsenses über die Regeln nach, die diese Praxis regeln. Ich frage mich, ob es in bestimmten Fällen gerechtfertigt ist, dass White Hats groß angelegte Exploits einsetzen, um sich vor möglichen zukünftigen Katastrophen zu schützen.

In dem hypothetischen Szenario, in dem das Ronin Network einen der größten Krypto-Raubüberfälle vereitelt hat und dadurch die Entwendung von 625 Millionen US-Dollar verhindert wurde, könnten Sie den vorübergehenden Verlust einiger Millionen als notwendig begründen.

Unabhängig von der eingenommenen Perspektive dient dieser Vorfall als unangenehmer Weckruf dafür, dass bedeutende Börsen möglicherweise unentdeckte Mängel aufweisen, die möglicherweise die Ersparnisse regelmäßiger Anleger gefährden, die sich bei der Verwahrung von Vermögenswerten auf diese Handelsplätze verlassen.

Weiterlesen

2024-06-26 13:46