Unsere laufenden Bemühungen zur Verbesserung der Sicherheit des Krypto-Ökosystems
Im Rahmen unseres kontinuierlichen Engagements zur Verbesserung der allgemeinen Sicherheit des Krypto-Ökosystems möchten wir die Krypto-Community darüber informieren, dass wir einen isolierten Fehler in unseren Einzahlungs- und Finanzierungssystemen behoben haben. Keine Kundengelder waren vor der Offenlegung betroffen oder gefährdet. Kraken hat den Fehler behoben.
Entdeckung und Behebung des Fehlers
Der Fehler wurde zunächst von einem unabhängigen Sicherheitsforschungsunternehmen entdeckt, das die Schwachstelle zu finanziellem Gewinn ausnutzte, bevor es sie an Kragens Bug-Bounty-Programm meldete. Dieser Fehler ermöglichte es bestimmten Nutzern, für eine kurze Zeit den Wert ihres Kraken-Kontostands künstlich zu erhöhen, ohne eine vollständige Einzahlung vorzunehmen.
Nach der Entdeckung hat ein funktionsübergreifendes Team bei Kraken das Problem in weniger als einer Stunde gemindert. Danach haben wir die Lösung gründlich getestet, um gegen ähnliche Probleme in der Zukunft gewappnet zu sein.
Verstoß gegen die Richtlinien unseres Bug-Bounty-Programms
Leider handelten die Forscher, die den Fehler entdeckten, in böser Absicht und außerhalb der Regeln unseres etablierten Bug-Bounty-Programms, das seit fast einem Jahrzehnt in Betrieb ist. Branchenübliche Best Practices für Bug-Bounty-Programme beinhalten normalerweise eine sorgfältige Zusammenarbeit beider Parteien, wobei von den Sicherheitsforschern erwartet wird:
- Nur das Nötigste auszunutzen, um eine Sicherheitslücke zu beweisen
- Unmittelbar zurückzugeben, was extrahiert wurde
- Details der Tests, wie beispielsweise den Proof-of-Concept-Code, bereitzustellen, damit das Unternehmen bei der Identifizierung und Behebung des zugrunde liegenden Fehlers helfen kann
Der Forscher der vorliegenden Enthüllung erfüllt keine dieser branchenüblichen Erwartungen, weshalb wir ihn nicht anerkennen werden.
Im Gegenzug für Bug-Bounty-Berichte wird von Entwicklern wie Kraken erwartet, dass sie aufmerksam sind, das zugrunde liegende Problem schnell beheben und die hervorragende Arbeit des Forschers öffentlich anerkennen. Am wichtigsten ist jedoch, dass dem Forscher eine großzügige Belohnung zuteil wird. Wir haben aktiv daran gearbeitet, unseren Teil dieses Abkommens einzuhalten.
Unsere Verpflichtung zur Sicherheitsforschung
Sicherheitsforschung ist für Kraken nichts Neues, da wir tief in der Informationssicherheitsbranche verwurzelt sind. Unser Team von Kraken Security Labs hat eine Erfolgsbilanz darin, Sicherheitslücken bei anderen Kryptoanbietern wie Ledger und Trezor zu entdecken und zu melden, um ihnen zu helfen, ihre Produkte zu verbessern.
Wir verstehen den Wert, den externe Sicherheitsforschung bringen kann, und wie sie das gesamte Ökosystem verbessern kann. Es gibt einfach keinen besseren Weg, alle Nutzer an der Krypto-Frontier zu sichern, als durch Zusammenarbeit.
„Als Führungskraft mit Wurzeln in der Hacker-Community kann ich die Bedeutung der Nutzung von Fähigkeiten, Wissen und Fachkenntnissen der Sicherheitsgemeinschaft zur Verbesserung der Sicherheitsstrategien und Risikomanagementkontrollen von Unternehmen bestätigen“, sagte Nick Percoco, Chief Security Officer von Kraken.
Wir sehen unser Bug-Bounty-Programm als einen wesentlichen Schutzschild für Kragens Mission und als einen wichtigen Teil unserer Bemühungen, unsere allgemeinen Sicherheitssysteme und Prozesse zu verbessern. Wir haben über die Jahre mit vielen talentierten, wohlwollenden Sicherheitsforschern zusammengearbeitet und freuen uns darauf, diese Arbeit in Zukunft fortzusetzen.
Diese Materialien dienen lediglich allgemeinen Informationszwecken und stellen keine Anlageberatung oder Empfehlung oder Aufforderung zum Kauf, Verkauf, Staking oder Halten von Krypto-Assets oder zur Teilnahme an einer bestimmten Handelsstrategie dar. Kraken macht keine ausdrücklichen oder stillschweigenden Zusicherungen oder Garantien in Bezug auf die Genauigkeit, Vollständigkeit, Aktualität, Eignung oder Gültigkeit solcher Informationen und haftet nicht für Fehler, Auslassungen oder Verzögerungen in diesen Informationen oder für Verluste, Verletzungen oder Schäden, die aus ihrer Anzeige oder Verwendung entstehen. Kraken wird nicht daran arbeiten, den Preis eines bestimmten Krypto-Assets zu erhöhen oder zu senken. Einige Krypto-Produkte und Märkte sind unreguliert, und Sie sind möglicherweise nicht durch staatliche Entschädigungs- und/oder Schutzmechanismen geschützt. Die unvorhersehbare Natur der Krypto-Asset-Märkte kann zu Kapitalverlusten führen. Möglicherweise müssen Sie Steuern auf Erträge und/oder Wertsteigerungen Ihrer Krypto-Assets zahlen und sollten unabhängige Beratung zu Ihrer Steuerposition einholen. Geografische Einschränkungen können gelten.
