Foto: Freepik / Kraken - Montagem: CriptoFacil
A exchange de criptomoedas Kraken revelou que perdeu quase US$ 3 milhões de suas carteiras devido a uma exploração de um bug, que já corrigiu. A plataforma identificou o problema no dia 9 de junho através de um alerta do programa de recompensas por bugs, conforme explicou o diretor de segurança da Kraken, Nick Percoco.
O alerta apontou para um bug extremamente crítico, que permitia a um invasor aumentar artificialmente seu saldo na plataforma. De acordo com Percoco, embora a submissão inicial não detalhasse especificamente o problema, uma análise revelou que um bug isolado permitia que um invasor iniciasse um depósito e recebesse os fundos na conta sem concluir o depósito totalmente.
Esta falha ocorria em circunstâncias específicas. Dessa forma, não colocava os ativos dos clientes em risco direto. A vulnerabilidade derivava de uma mudança recente na interface do usuário, que creditava as contas antes da compensação completa dos depósitos.
A Kraken informou que corrigiu o bug poucas horas após a descoberta. Contudo, uma investigação posterior revelou que três contas já haviam explorado a falha. Percoco mencionou que uma das contas estava registrada em nome de um “pesquisador de segurança” que havia descoberto o bug e alegava ter aproveitado a falha para creditar sua conta com US$ 4, o suficiente para provar a existência do problema e registrar um relatório de bug para reivindicar uma recompensa.
No entanto, o pesquisador teria compartilhado o bug com dois outros indivíduos, que retiraram somas significativamente maiores, totalizando quase US$ 3 milhões. Percoco esclareceu que esses fundos vieram do tesouro da Kraken e não de outros ativos de clientes.
A Kraken solicitou um relato completo das atividades e a devolução dos fundos, mas os pesquisadores se recusaram a devolver o dinheiro até que a exchange divulgasse o tamanho potencial da exploração se o bug não tivesse sido reportado.
Percoco classificou a atitude dos pesquisadores como extorsão, afirmando que isso não se enquadra como hacking de “chapéu branco”.
Os pesquisadores, então, acusaram a Kraken de ser irracional e pouco profissional em seus pedidos. Em resposta, Percoco afirmou que a Kraken não divulgaria a empresa de pesquisa envolvida, tratando o caso como uma questão criminal e coordenando com as autoridades competentes.
“Não divulgaremos esta empresa de pesquisa porque ela não merece reconhecimento por suas ações. Estamos tratando isso como um caso criminal e estamos coordenando com as agências de aplicação da lei nesse sentido”, concluiu Percoco.
This website uses cookies.