Kraken, einer der größten Kryptowährungsbroker der Welt, gab bekannt, dass es einen kritischen Fehler auf seiner Plattform gefunden hatte. Kurz gesagt: Die Sicherheitslücke ermöglichte es Hackern, Geld auf ihre Konten zu drucken.
Die Informationen wurden an diesem Mittwoch (19) von Nick Percoco, dem Sicherheitsdirektor von Kraken, präsentiert.
„Wir haben einen isolierten Fehler entdeckt“, schrieb Percoco. „Dadurch konnte ein böswilliger Angreifer unter den richtigen Umständen eine Einzahlung auf unserer Plattform veranlassen und Geld auf sein Konto erhalten, ohne diese vollständig abzuschließen.“
„Um es klarzustellen: Das Vermögen eines Kunden war nicht gefährdet. Ein böswilliger Angreifer könnte jedoch für einen bestimmten Zeitraum effektiv Vermögenswerte in Ihrem Kraken-Konto „drucken“.
Als nächstes betonte der Kraken-Manager, dass der Fehler in 47 Minuten behoben wurde und daher keine Bedrohung mehr darstelle.
Kraken liefert weitere Details zur Sicherheitslücke
Kraken erläuterte die Situation und gab bekannt, dass der Fehler mit einer kürzlichen Änderung seiner Website zusammenhängt, die es seinen Benutzern ermöglicht, Kryptowährungen zu handeln, bevor Einzahlungen bestätigt wurden.
Insgesamt hätten drei Konten die Schwachstelle missbraucht, eines davon lief auf den Namen des Hackers, der die Meldung an den Broker geschickt hatte.
„Diese Person entdeckte den Fehler in unserem Finanzierungssystem und nutzte ihn, um seinem Konto Kryptowährung im Wert von 4 US-Dollar gutzuschreiben“, schrieb Kraken. „Dieser „Sicherheitsforscher“ hat diesen Fehler jedoch zwei anderen Personen, mit denen er zusammenarbeitet, offengelegt, die auf betrügerische Weise viel größere Summen erwirtschaftet haben.“
Hier wird die Geschichte noch interessanter. Dies liegt daran, dass der Broker und die Hacker in einen Streit geraten sind.
Kraken wirft Hackern Erpressung vor
Die Sicherheitslücke wurde der Börse über ihr Bug-Bounty-Programm gemeldet. Laut der Seite von Kraken schwanken die Preise je nach Schwere des Versagens zwischen 500 und 1,5 Millionen Dollar.
Nick Percoco behauptet jedoch, dass die Hacker keine Daten über die beiden anderen Konten preisgegeben hätten, die 3 Millionen US-Dollar gesammelt hätten. Anschließend stellt der Sicherheitsdirektor von Kraken fest, dass die Hacker die Bedingungen des Programms nicht akzeptiert, sondern neue durchgesetzt hätten.
„Sie forderten einen Anruf bei ihrem Geschäftsentwicklungsteam“, schrieb Percoco. „Sie haben sich nicht bereit erklärt, Gelder zurückzugeben, bis wir einen spekulierten Dollarbetrag bereitgestellt haben, den dieser Fehler hätte verursachen können, wenn sie ihn nicht offengelegt hätten.“