- O bug de Kraken levou a um roubo de US$ 3 milhões, gerando polêmica sobre práticas de segurança.
- CertiK criticou as exigências de reembolso de Kraken pós-vulnerabilidade, aumentando as incertezas da exchange.
Em uma reviravolta inesperada, Kraken, uma importante bolsa de criptomoedas, revelou no dia 19 de junho que estava lidando com um bug que permitia aos usuários gerar dinheiro grátis em suas contas há meses.
O problema veio à tona depois que um pesquisador de segurança alertou Kraken sobre um “bug extremamente crítico” em seu sistema.
Troca de Kraken embaralhada?
Esse bug levou à retirada de pelo menos US$ 3 milhões em ativos digitais, ganhando as manchetes. Comentando a situação, Nicolau Percocodiretor de segurança da Kraken, acessou o X (antigo Twitter) e observou:
Fonte: Nick Percoco/X
Apesar deste incidente, a empresa afirmou que “nenhum activo de cliente esteve alguma vez em risco”. Percoco mais adiante explicado que os usuários poderiam creditar fundos em suas contas Kraken iniciando depósitos sem realmente concluir o processo de depósito. Ele disse,
“Um invasor mal-intencionado poderia efetivamente imprimir ativos em sua conta Kraken por um período de tempo.”
O “pesquisador de segurança” usou o bug para creditar em sua conta US$ 4 em criptomoeda, o que teria sido suficiente para relatar a falha e reivindicar uma recompensa.
Mas em vez de relatar a falha, o pesquisador a compartilhou com dois associados, que retiraram quase US$ 3 milhões do Kraken.
Abordando as preocupações dos usuários em torno do problema, afirmou Kraken,
“Isso veio do tesouro da Kraken, não de outros ativos do cliente.”
Resposta inesperada dos pesquisadores
Escusado será dizer que quando Kraken pediu aos pesquisadores que devolvessem o dinheiro e fornecessem detalhes, o que é uma prática padrão para programas de recompensas de bugs, eles se recusaram a cooperar.
Para isso, Percoco respondeu,
Fonte: Nick Percoco/X
Expressando sua frustração com o mesmo, o CSO da Kraken disse:
“Estamos sendo acusados de ser irracionais e pouco profissionais por solicitar que os 'hackers de chapéu branco' devolvam o que roubaram de nós. Inacreditável.”
Fonte: Nick Percoco/X
CertiK: O pesquisador de segurança
No entanto, as coisas realmente pioraram quando a empresa de segurança blockchain CertiK veio a público, identificando-se como o “pesquisador de segurança”. Eles disseram,
“Após conversões iniciais bem-sucedidas na identificação e correção da vulnerabilidade, a equipe de operações de segurança da Kraken AMEAÇOU funcionários individuais da CertiK a reembolsar uma quantidade INCOMPARÁVEL de criptografia em um prazo IRRACIONAL, mesmo SEM fornecer endereços de reembolso.”
Isto foi recebido com críticas iniciais, conforme destacado por Lefteris Karapetsas, fundador do Rotkiapp, que disse:
Fonte: Lefteris Karapetsas/X
Mas com o histórico da CertiK na identificação de vulnerabilidades, os resultados da troca permanecem incertos.
