De crypto exchange Kraken is het slachtoffer geworden van een hack. De aanval vond plaats op 5 juni. Volgens Chief Security Officer Nick Percoco konden de daders cryptocurrencies stelen voor een totaalbedrag van drie miljoen US dollar (USD). De hackers zouden gebruik hebben gemaakt van een beveiligingslek waardoor ze het rekeningsaldo kunstmatig konden opblazen. Het crypto-cyberbeveiligingsbedrijf CertiK zit achter de hack.

Volgens Percoco hadden de hackers de kwetsbaarheid gemeld aan Kraken. Vanuit het oogpunt van Kraken voldeden ze echter niet aan alle ethische normen die zogenaamde white-hat hackers zouden moeten volgen. White hat hackers zoeken alleen naar kwetsbaarheden of exploits wanneer zij hier wettelijk toestemming voor hebben. De hackers zouden in eerste instantie slechts vier Amerikaanse dollars hebben verkregen. Daarna zouden ze echter opnieuw misbruik hebben gemaakt van de kwetsbaarheid en nog eens drie miljoen USD aan cryptocurrency hebben gestolen.

Chief Security Officer Nick Percoco spreekt dan ook van "criminele activiteiten". Hij schrijft op Platform X: "We behandelen dit als een criminele zaak en coördineren dienovereenkomstig met wetshandhavingsinstanties."

We’ll not disclose this research company because they don’t deserve recognition for their actions. We are treating this as a criminal case and are coordinating with law enforcement agencies accordingly. We’re thankful this issue was reported, but that’s where that thought ends.
— Nick Percoco (@c7five) June 19, 2024

CertiK heeft een andere kijk op de zaak. CertiK werd "bedreigd" en de bijbehorende crypto-adressen voor de terugbetaling van de gestolen tegoeden werden helemaal niet verstrekt. Dat schrijft CertiK in een verklaring op Twitter.

CertiK recently identified a series of critical vulnerabilities in @krakenfx exchange which could potentially lead to hundreds of millions of dollars in losses.

Starting from a finding in @krakenfx's deposit system where it may fail to differentiate between different internal… pic.twitter.com/JZkMXj2ZCD
— CertiK (@CertiK) June 19, 2024

Volgens Kraken zijn er op geen enkel moment activa van klanten aangetast. De hackers waren in staat om de corresponderende tegoeden uit de wallets van de exchange te stelen.

De reputatieschade voor beide bedrijven is immens. De kwetsbaarheid in de beveiliging bij Kraken doet geen goed aan de IT-infrastructuur van het bedrijf. CertiK, aan de andere kant, heeft volgens de huidige informatie niet voldaan aan alle ethische normen voor white-hat hacking. Het is niet duidelijk waarom het nodig was om nog eens drie miljoen USD aan cryptocurrency op te nemen nadat de kwetsbaarheid was misbruikt.