Über die letzten Tage stehen mit Kraken und Certik zwei der grössten Krypto-Unternehmen im Konflikt. Es geht um einen immensen Fehler auf Krakens Handelsplattform, der einen Milliardenschaden hätte verursachen können. Die Betreiber werfen Certik Betrug und Diebstahl vor.
Kraken vs Certik: Darum dreht sich der Millionenskandal
Vergangenen Mittwoch veröffentlichte Nick Percoco, Sicherheitschef der Krypto-Börse Kraken eine Kritik an IT-Experten, die als Sicherheitsforscher arbeiten. Sein Beitrag löste einen öffentlichen Konflikt zwischen Kraken und Certik aus.
Certik ist seit 2018 in der Kryptobranche aktiv und zählt zu ihren bekanntesten Unternehmen für IT-Sicherheit. Percoco wollte die Identität der Firma ursprünglich geheim halten, doch nach seiner Kritik ging Certik ebenfalls an die Öffentlichkeit und teilte gegen Kraken aus.
“Am 9. Juni 2024 erhielten wir von einem Sicherheitsforscher eine Meldung über das Bug Bounty-Programm”, erklärte Percoco ursprünglich über X und erschuf damit den Stein des Anstosses.
Sicherheitsexperten von Certik fanden demnach eine Sicherheitslücke auf der Krypto-Börse Kraken, die es Angreifern ermöglichte, ein beliebig hohes Guthaben zu erschaffen. Kraken nutzte die Meldung Certiks für eigene Untersuchungen und konnte den Fehler innerhalb von nur 47 Minuten beheben.
Diese Eigeninitiative sei gefragt gewesen, da Certik ursprünglich keine Details zum Fehler an Kraken übertrug, so erklärt Percoco. Nach weiteren Untersuchungen stellte die Handelsplattform fest, dass drei Konten den Fehler ausgenutzt und Kryptowährungen im Wert von drei Millionen US-Dollar abgehoben hatten.
Die hinterlegte Identität innerhalb eines Kontos liess darauf schliessen, dass alle drei Konten von Certik-Mitarbeitern kontrolliert wurden, gab Percoco bekannt. Kraken forderte eine Rückzahlung sowie eine Herleitung des Fehlers, die Certik ablehnte.
Aufgrund dessen beschloss Percoco, die Kritik zu veröffentlichen. Der Sicherheitschef fordert einen besseren Umgang untereinander. Einen Tag später – am 20. Juni – habe Certik den geforderten Betrag schliesslich freiwillig zurückgesendet.
Deshalb weist Certik die Vorwürfe zurück
Auf Percocos Beitrag reagierte Certik mit einer öffentlichen Stellungnahme. Man habe die Rückzahlung des Geldes zunächst verweigert, bis Kraken eine Einschätzung dazu abgab, welchen Schaden die Aufspürung des Fehlers durch Certik möglicherweise verhindern konnte.
Certik bestand auf diese Einschätzung, damit sich beide Parteien auf eine angemessene Prämie hätten einigen können. Kraken lehnte diesen Vorschlag offenbar ab und drohte Certik mit rechtlichen Konsequenzen.
Laut Certik habe Kraken eine drohende Position gegenüber den Sicherheitsforschern eingenommen und übertriebene Fristen zur Abwicklung der Rückzahlung gesetzt. Zudem seien Krakens Angaben unvollständig gewesen.
“Da Kraken keine Rückzahlungsadressen angegeben hat und der angeforderte Betrag nicht übereinstimmt, überweisen wir die Gelder auf der Grundlage unserer Unterlagen auf ein Konto, auf das Kraken Zugriff hat”, erklärte Certik über X.
Krypto-Enthusiastin Tayvano sammelte eine Reihe von Beiträgen, in denen sie sich eindeutig auf die Seite von Kraken schlägt. In der Krypto-Szene entstand seither viel Kritik, die Certik seither entgegen schlägt.
Laut mehreren Blockchain-Analysten veröffentlichte Certik demnach einen falschen Zeitplan zu den Abläufen – laut Kritikern, um die öffentliche Wahrnehmung zu manipulieren und sich selbst reinzuwaschen.
Kritiker werfen Certik unsaubere, illegitime Arbeit vor. So hätten die Sicherheitsforscher Tornado.cash und ChangeNOW genutzt, um die Spuren der von Kraken entwendeten Gelder zu verwischen. Für sogenannte White Hat Hacker ist die Nutzung von Krypto-Mixern und Swappern untypisch.
Einige Experten vermuten, dass der Gebrauch von Tornado.cash strafrechtliche Konsequenzen für Certik haben könnte. Der Mixer ist in den USA seit 2022 verboten. Das Sicherheitsunternehmen unterhält sein offizielles Hauptquartier in New York. Conor Grogan, Direktor der Krypto-Börse Coinbase, warnte in diesem Zusammenhang.
Krypto-Experte Chris Blec sieht den Fehler hingegen bei Kraken. “Noch nie zuvor hat Certik so vertrauenswürdig gearbeitet”, gab er auf X bekannt. Die Krypto-Börse sei jedoch für die Entstehung des Fehlers zu kritisieren. Kritik an Certik hält er für eine ungerechte Hysterie.
Eine öffentliche Stellungnahme zum Gebrauch von Tornado.cash und ChangeNOW gab Certik bislang trotz mehrerer Nachfragen nicht ab.