Empresa de segurança Blockchain CertiK confirmou que estava por trás da descoberta de uma vulnerabilidade crítica na troca de criptografia Kraken's sistema de depósito e tornou público seu relato dos eventos que se seguiram acusações de extorsão pela troca.
A empresa de segurança também alegou que Kraken ameaçou seus funcionários em 18 de junho e exigiu o reembolso de uma quantia “incompatível” em um período de tempo excessivo, sem fornecer um endereço de carteira relevante.
A CertiK negou as acusações de extorsão e disse que transferiria os fundos usados para seus “testes de chapéu branco” de volta para o endereço da carteira que tem em mãos, uma vez que a Kraken não forneceu um novo endereço. A empresa disse:
“Como a Kraken não forneceu endereços de reembolso e o valor solicitado não corresponde, estamos transferindo os fundos com base em nossos registros para uma conta que a Kraken poderá acessar.”
Lado da CertiK
A CertiK disse que sua investigação começou em 5 de junho, quando seus pesquisadores encontraram um problema no sistema de depósito do Kraken que não conseguia diferenciar vários status de transferência interna.
Isto levou a uma investigação mais profunda sobre se um agente mal-intencionado poderia fabricar uma transação de depósito e retirar fundos fabricados. A empresa disse que os testes também visavam determinar se um grande pedido de saque desencadearia algum controle de risco.
Os testes da CertiK revelaram que milhões de dólares poderiam ser depositados em qualquer conta Kraken, e criptomoedas fabricadas no valor de mais de US$ 1 milhão poderiam ser retiradas e convertidas em criptomoedas válidas. A empresa disse que nenhum alerta foi acionado durante o período de testes de vários dias, e a Kraken só respondeu e bloqueou as contas de teste dias depois de relatar o incidente.
Apesar das comunicações iniciais bem-sucedidas e das medidas para identificar e corrigir a vulnerabilidade, a situação deteriorou-se, levando à divulgação pública da CertiK.
A linha do tempo dos eventos começou com a descoberta inicial em 5 de junho e incluiu testes significativos, como um grande saque de mais de 90.000 Matic em 7 de junho e grandes depósitos e saques adicionais nos dias seguintes.
A CertiK relatou suas descobertas à Kraken em 10 de junho e, em 12 de junho, a Kraken confirmou e corrigiu a vulnerabilidade crítica. No entanto, a situação agravou-se em 18 de junho, quando Kraken supostamente ameaçou um funcionário da CertiK, exigindo o reembolso sem fornecer endereços.
Alegações de extorsão
O diretor de segurança da Kraken, Nick Percoco, revelou em 19 de junho que quase US$ 3 milhões foram retirados de suas carteiras devido a um bug que permitia a qualquer pessoa iniciar um depósito na plataforma e receber os fundos sem concluir a transação.
Ele revelou que em 9 de junho a empresa recebeu uma denúncia anônima de um “pesquisador de segurança” sobre um bug crítico que afetava seu sistema de financiamento. A falha permitiu que atores mal-intencionados inflacionassem artificialmente os saldos de suas contas.
Ao corrigir a vulnerabilidade, Kraken descobriu que três contas exploraram essa falha em poucos dias, resultando na retirada de quase US$ 3 milhões do tesouro de Kraken. A quantia é várias magnitudes maior do que o necessário para provar a existência da vulnerabilidade.
A bolsa disse que os pesquisadores recusaram seu pedido de devolução dos fundos e fornecimento de dados de acordo com os programas habituais de recompensas de bugs, que incluem “um relato completo de suas atividades, uma prova de conceito usada para criar a atividade na rede”.
Em vez disso, os pesquisadores agendaram reuniões entre a bolsa e o departamento de negócios da CertiK para discutir quanto deveria valer a recompensa com base nos danos que teria causado se não fosse divulgada.
Percoco condenou as exigências dos pesquisadores por uma quantia especulativa pelos danos potenciais, qualificando as ações de antiéticas e criminosas.
