Erpressungsversuch nach gemeldetem Sicherheitsfehler bei Kraken

Am 9. Juni 2024 erhielt Kraken, eine bedeutende Kryptowährungsbörse, einen kritischen Bug-Bounty-Bericht von einem Sicherheitsforscher. Dieser Bericht behauptete, eine schwerwiegende Sicherheitslücke entdeckt zu haben, die es ermöglichte, Kontostände künstlich zu erhöhen.Was zunächst wie ein typischer Sicherheitsbericht aussah, entwickelte sich schnell zu einem Erpressungsversuch.

Ein Untersuchungsteam unter der Leitung von Nick Percoco, dem Chief Security Officer von Kraken, enthüllte bei der Prüfung des Berichts einen Exploit im Wert von 3 Millionen Dollar. In einem Thread auf X (ehemals Twitter), der am 19. Juni veröffentlicht wurde, ging Percoco auf die gesamte Situation ein.

Streit um Rückgabe abgehobener Gelder

Als Kraken einen detaillierten Bericht über ihre Aktivitäten sowie die Rückerstattung der abgehobenen Gelder anforderte, weigerten sich die Sicherheitsforscher und verlangten stattdessen ein Treffen mit dem Geschäftsentwicklungsteam. Dies bezeichnete Percoco als Erpressungsversuch.

Zusätzlich erklärte der Chief Security Officer, dass das seit fast einem Jahrzehnt bestehende Bug Bounty Programm von Kraken klare Regeln habe.

Er sagt:

Nutzen Sie nicht mehr aus, als nötig ist, um die Schwachstelle zu beweisen, liefern Sie einen Konzeptionsnachweis und geben Sie die erbeuteten Gelder sofort zurück.

Unternehmen reagiert schnell auf gefälschte Bug-Bounty-Meldung

Nick Percoco enthüllte, dass die Börse häufig mit gefälschten Bug-Bounty-Meldungen konfrontiert wird. Dennoch nahm die Kryptobörse den aktuellen Bericht ernst und bildete sofort ein Team, um den Vorfall zu untersuchen.

Innerhalb weniger Minuten identifizierte das Team einen isolierten Fehler, der es einem böswilligen Angreifer unter bestimmten Bedingungen ermöglichte, eine Einzahlung zu initiieren und Geld zu erhalten, ohne die Transaktion vollständig abzuschließen.