Kraken hat eine nicht genannte Sicherheitsforschungsfirma beschuldigt, 3 Millionen Dollar aus seiner Schatzkammer gestohlen und versucht zu haben, mehr Geld zu erpressen. Nick Percoco sagte, dass sogenannte White-Hat-Hacker es versäumt haben, die Bug-Transaktionsdetails vollständig offenzulegen und keine Vorkehrungen getroffen haben, um die gestohlenen Gelder zurückzugeben.
Kraken nennt Forderungen des Sicherheitsforschungsunternehmens 'kriminell'; Certik verurteilt Drohungen gegen seine Mitarbeiter
Dieser Artikel wurde vor mehr als einem Jahr veröffentlicht. Einige Informationen sind möglicherweise nicht mehr aktuell.
GESCHRIEBEN VON
TEILEN
White-Hat-Hacker weigern sich, Regeln zu befolgen
Die US-Kryptowährungsbörse Kraken hat eine nicht genannte Sicherheitsforschungsfirma beschuldigt, illegal 3 Millionen Dollar aus seiner Schatzkammer abgezweigt und versucht zu haben, mehr Geld zu erpressen. Nick Percoco, Krakens Chief Security Officer, enthüllte in einem Post auf X (früher Twitter), dass diese Aktionen der White-Hat-Hacker von der normalen Praxis abweichen.
Kraken sagte, dass es in den zehn Jahren, in denen es ein Bug-Bounty-Programm betreibt, noch nie Sicherheitsforscher erlebt hat, die sich weigerten, seinen Regeln zu folgen. Nach Percoco sind Teilnehmer am Programm verpflichtet, jede abgezogene Mittel umgehend zurückzugeben, wenn sie Bugs identifizieren. Außerdem müssen sie einen Proof of Concept liefern und eine übermäßige Ausnutzung des Bugs vermeiden.
White-Hat-Hacker wird mangelnde Professionalität vorgeworfen
Nach Percoco haben die White-Hat-Hacker jedoch versäumt, die Details der Bug-Transaktion vollständig offenzulegen und keine Vorkehrungen getroffen, um die gestohlenen Gelder zurückzugeben. Anstatt das Geld zurückzugeben, beschuldigte die Forschungsfirma Kraken, “unvernünftig” und “unprofessionell” zu sein.
“Als Sicherheitsforscher wird Ihnen die Erlaubnis zum ‘Hacken’ eines Unternehmens durch das Befolgen der einfachen Regeln des Bug-Bounty-Programms, an dem Sie teilnehmen, ermöglicht. Diese Regeln zu ignorieren und das Unternehmen zu erpressen, entzieht Ihnen Ihre ‘Lizenz zum Hacken’. Es macht Sie und Ihr Unternehmen zu Kriminellen,” erklärte Percoco.
Er fügte hinzu, dass Kraken zwar Strafverfolgungsbehörden kontaktiert hat, das Bug-Bounty-Programm jedoch weiterhin als ein wichtiger Schild für die Krypto-Börse dient. Percoco hat jedoch den Namen der Forschungsfirma nicht preisgegeben, da sie keine Anerkennung für ihre Handlungen verdient.
Certik kritisiert Krakens Drohungen
In der Zwischenzeit, ein paar Stunden nachdem Kraken Erpressungsvorwürfe erhoben hatte, enthüllte die Blockchain-Sicherheitsfirma Certik, dass sie die beteiligte Sicherheitsforschungsfirma war. Certik beschuldigte jedoch Kraken, seine Mitarbeiter bedroht zu haben, indem es die Rückgabe einer „nicht übereinstimmenden Menge an Krypto“ innerhalb eines unangemessenen Zeitrahmens verlangte.
Bemerkenswerterweise soll Kraken diese Forderung gestellt haben, ohne Rückzahlungsadressen zur Verfügung zu stellen, behauptete die Sicherheitsfirma. Certik betonte, dass Kraken aufhören sollte, Drohungen auszusprechen, und versprach, die nicht übereinstimmende Krypto auf ein Konto zu überweisen, auf das die Krypto-Bör
se Zugriff haben wird.
“Da Kraken keine Rückzahlungsadressen bereitgestellt hat und der angeforderte Betrag nicht übereinstimmte, überweisen wir die Mittel basierend auf unseren Aufzeichnungen auf ein Konto, das Kraken zugreifen können wird,” sagte Certik.
In späteren Updates schien Certik auf Bedenken bezüglich der Anzahl der durchgeführten Tests zu reagieren, indem es fragte, warum Krakens hochgelobtes Verteidigungssystem so viele Testtransaktionen nicht erkannt hat. Certik behauptete, dass die kontinuierlichen großen Abhebungen von verschiedenen Testkonten tatsächlich Teil unserer Tests waren.
Was sind Ihre Gedanken zu dieser Geschichte? Teilen Sie Ihre Meinungen im Kommentarbereich unten mit.
