Kryptobörse Kraken: Millionenschwere Sicherheitslücke gefunden

Gestern veröffentlichte die populäre Kryptobörse Kraken Informationen zu einer kritischen Schwachstelle, die es Angreifern ermöglicht haben soll, Einzahlungen auf einen Account vorzutäuschen, um diese – eigentlich nicht gedeckten – Geldbeträge in Kryptowährungen auszuzahlen. Unmittelbar sollen auf diese Weise knapp drei Millionen US-Dollar abhandengekommen sein.

Bereits am 9. Juni hatten Sicherheitsforscher, die sich mittlerweile als das Unternehmen CertiK herausstellen, die Schwachstelle in Form einer Responsible Disclosure (einem Verfahren zur verantwortungsvollen Offenlegung von Schwachstellen) über das Bug-Bounty-Programm von Kraken gemeldet. Die Börse reagierte zügig und konnte die Sicherheitslücke laut Kraken CSO Nick Percoco "innerhalb von 47 Minuten" isolieren und beheben.

Als "White Hat" bezeichnet man ganz allgemein Hacker, die verantwortungsvoll und mit einem "guten moralischen Kompass" handeln. Es geht also hauptsächlich darum, Schwachstellen zu entdecken, damit diese behoben werden können – anstatt sie zu kriminellen Zwecken auszunutzen, wie es ein sogenannter "Black Hat" tun würde.

Bei diesem Vorfall scheint nicht ganz eindeutig zu sein, welche Farbe der Hut der Sicherheitsforscher von CertiK tatsächlich hatte, zumindest wenn man den Aussagen von Percoco Glauben schenkt, der auf der Plattform 𝕏 ausführlich den Ablauf des Vorfalls schilderte. Insgesamt sollen drei Accounts die Schwachstelle ausgenutzt haben; einer über gerade einmal vier US-Dollar, zwei weitere trieben es dann mit fast drei Millionen US-Dollar etwas auf die Spitze.

Ein etwas anderes Bild zeichnet CertiK, das Unternehmen hinter der Offenlegung der Sicherheitslücke, das sich nach den Anschuldigungen von Kraken ebenfalls auf 𝕏 zu Wort meldete.

Nach anfänglichen erfolgreichen Umstellungen zur Identifizierung und Behebung der Schwachstelle hat das Sicherheitsteam von Kraken einzelne CertiK-Mitarbeiter bedroht, einen falschen Betrag in Kryptowährungen innerhalb einer unangemessenen Zeit zurückzuzahlen, und das ohne Empfangsadressen bereitzustellen.

Im Geiste der Transparenz und unserem Engagement für die Web3-Community gehen wir an die Öffentlichkeit, um die Sicherheit aller Nutzer zu schützen. Wir fordern @krakenfx auf, alle Drohungen gegen Whitehat-Hacker einzustellen.
_CertiK

Auf die Frage, warum es überhaupt notwendig war, die Schwachstelle mit derart hohen Beträgen zu testen, antwortete CertiK mit der Begründung, dass sie eben genau das testen wollten, also ob Kraken die Schwachstelle anhand der verdächtigen Auszahlungen automatisch erkennen würde. Kraken hingegen sieht in diesem Schritt ein kriminelles Motiv und kündigte an, entsprechende Maßnahmen einzuleiten.

Mittlerweile wurden die mehr oder weniger gestohlenen Bestände wieder an Kraken zurückgesendet. Da die Sicherheitslücke ebenfalls behoben ist, kommen sowohl Kraken selbst als auch Kunden also unbeschadet davon.

Völlig unabhängig von den beiden Darstellungen von CertiK und Kraken kann man festhalten: Eine Schwachstelle bei einer der größten und angesehensten Kryptobörsen hätte potenziell in einem viel größeren Verlust für Kraken und damit indirekt auch für Kunden enden können. Es ist nicht unwahrscheinlich, dass die Schwachstelle auch ohne die Offenlegung durch CertiK irgendwann aufgefallen wäre, und Kraken potenzielle Schäden in einem gewissen Rahmen sicherlich auch erstattet hätte.

Dennoch schließt sich dieser Vorfall den zahlreichen Gründen an, warum man Bitcoin und andere Kryptowährungen stets selbst auf einer eigenen Wallet verwahren sollte – außerhalb der direkten Kontrolle von Vertrauensparteien wie einer Kryptobörse. Denn selbst wenn letztere keine schlechten Absichten haben, bleibt das Vertrauen, das man in deren komplexen und intransparenten Systeme haben muss – was im Gegensatz zum aktuellen Vorfall in der Vergangenheit auch schon fatalere Folgen hatte.