Troca de criptografia Kraken relataram que uma empresa de pesquisa de segurança desonesta reteve unilateralmente US$ 3 milhões em ativos digitais que explorou devido a um bug em sua plataforma.
O diretor de segurança da Kraken, Nick Percoco, detalhou o incidente no X, revelando que em 9 de junho a empresa recebeu uma denúncia anônima de um “pesquisador de segurança” sobre um bug crítico afectando o seu sistema de financiamento.
O inseto
De acordo com Percoco, a falha, decorrente da recente mudança de UX da exchange, permitiria que um ator mal-intencionado inflasse artificialmente os saldos de suas contas. Ele explicou:
“Nossa equipe identificou uma falha em uma mudança de UX que creditava contas prematuramente, permitindo aos usuários negociar em tempo real antes da liberação de ativos. Esta mudança não foi testada adequadamente contra esta vulnerabilidade específica… [So,] um invasor mal-intencionado poderia efetivamente imprimir ativos em sua conta Kraken.”
Depois de corrigir o bug, Kraken descobriu que três contas exploraram essa falha em poucos dias. A Percoco revelou que o pesquisador de segurança compartilhou as informações com dois associados, que posteriormente retiraram quase US$ 3 milhões do tesouro da Kraken.
Extorsão?
Percoco afirmou que Kraken contatou esses indivíduos para um relatório completo e para devolver os fundos retirados.
No entanto, esses pedidos foram ignorados. Em vez disso, os pesquisadores exigiram uma quantia especulativa pelos danos potenciais que o bug poderia ter causado se não fosse divulgado.
Percoco condenou essas ações como antiéticas e criminosas, afirmando:
“Como pesquisador de segurança, sua licença para 'hackear' uma empresa é habilitada seguindo as regras simples do programa de recompensas de bugs do qual você está participando. Ignorar essas regras e extorquir a empresa revoga sua 'licença para hackear'. Isso torna você e sua empresa criminosos.”
Consequentemente, a Kraken está agora a tratar este incidente como criminoso e a trabalhar com as autoridades responsáveis pela aplicação da lei.
Kraken ainda não respondeu a do CryptoSlate solicitação de comentários adicionais até o momento desta publicação.
