Kraken, eine bekannte Kryptowährungsbörse, ist zum neuesten Ziel von Cyberkriminellen geworden und sah sich mit einem schwerwiegenden Sicherheitsvorfall konfrontiert, der eine beträchtliche Summe Geld umfasste. Eine Zero-Day-Schwachstelle wurde ausgenutzt, was zu einem Verlust von 3 Millionen US-Dollar in Kryptowährung führte, wie von Krakens Chief Security Officer detailliert beschrieben.
Ein Sicherheitsloch wurde von Einzelpersonen, die sich als Fehlerforscher ausgaben, geschickt manipuliert, was ihnen ermöglichte, betrügerische Kontostände auf der Kryptowährungsbörse zu erstellen. Kraken stellte schnell fest, dass die Vermögenswerte seiner Kunden nie gefährdet waren, da die Schwachstelle innerhalb von 47 Minuten nach ihrer Entdeckung behoben wurde.
Die Verletzung konnte auf ein scheinbar unschuldiges Benutzeroberflächen-Update zurückverfolgt werden, das versehentlich die betrügerischen Transaktionen ermöglichte. Die Täter bestanden aus drei Konten, darunter dasjenige, das ursprünglich behauptete, den Fehler entdeckt zu haben. Anstatt sich an ethische Standards zu halten, entschieden sie sich, die Entdeckung für ihren eigenen Vorteil zu missbrauchen.
Ursprünglich wurde eine kleine Menge Krypto verwendet, um die Schwachstelle zu demonstrieren, eine Taktik, die normalerweise dazu beitragen würde, die Sicherheitsmaßnahmen von Kraken zu verbessern und eine Belohnung zu erhalten. Die Situation eskalierte jedoch, als größere Beträge betrügerisch erworben und abgehoben wurden. Als sie konfrontiert wurden, schlugen die „Forscher“ einen unerwarteten Kurs ein und verlangten eine Zahlung für die Rückgabe der gestohlenen Gelder, was von Krakens CSO als offene Erpressung bezeichnet wurde.
Kraken hat die beteiligten Identitäten nicht offengelegt, aber bestätigt, dass der Diebstahl als kriminelles Handeln behandelt und in Zusammenarbeit mit den Strafverfolgungsbehörden angegangen wird, um das Problem zu lösen und Gerechtigkeit zu suchen. Der CSO ermutigte zur Rückgabe der gestohlenen Vermögenswerte und verurteilte den Missbrauch dessen, was eine konstruktive Sicherheitsübung hätte sein sollen. Die Rolle eines Sicherheitsforschers bringt die Verantwortung mit sich, sich an etablierte Richtlinien zu halten, deren Verletzung zu strafrechtlichen Konsequenzen führen kann.