Quando Nick Percoco, diretor de segurança da Kraken, soube que a bolsa havia sido hackeada por US$ 3 milhões no mês passado, ele estava voando a 40.000 pés de altitude a caminho de umas férias merecidas.

Mas, em vez de relaxar no Japão, a Percoco teve que aproveitar a brecha e ajudar a administrar uma das piores crises de segurança para atingir a sétima maior exchange de criptomoedas do mundo.

“Acontece que consegui acesso Wi-Fi durante o voo”, disse Percoco ao DL News. “Eu estava me comunicando de última hora com as pessoas no trabalho, lendo notícias, no Twitter. E vi isso e então os direcionei para a recompensa de insetos.”

Em 19 de junho, Kraken revelou que um pesquisador de segurança independente relatou uma vulnerabilidade crítica ao programa de recompensas por bugs da exchange.

Esses programas oferecem dinheiro aos invasores em troca da identificação de vulnerabilidades nos projetos.

Essa fraqueza específica permitiu ao pesquisador creditar dinheiro em suas contas Kraken à vontade. O detetive trabalhou para a CertiK, empresa de auditoria de segurança e criptografia, que afirmou ter identificado essa vulnerabilidade.

Ao longo de cinco dias, a CertiK retirou US$ 3 milhões em criptomoedas da exchange, disse Percoco.

Isto é altamente incomum. As empresas de segurança não deveriam explorar uma vulnerabilidade por tanto tempo e por tanto dinheiro, disse Percoco.

Os fundos foram eventualmente devolvidos e o bug foi corrigido em 47 minutos. Ainda assim, foi um episódio surpreendente, mesmo para os padrões criptográficos.

Foi uma violação massiva de uma das bolsas mais estabelecidas do setor. Fundada em 2011, a ascensão da Kraken tem sido sinônimo da institucionalização do Bitcoin.

Em janeiro, 11 ETFs Bitcoin à vista diferentes foram aprovados. Meses depois, Kraken está levantando fundos antes de uma possível oferta pública inicial.

A exploração também foi bizarra. CertiK, uma empresa baseada na segurança de código para criptografia, parecia quebrar quase todos os padrões da indústria em relação a recompensas de bugs. Eles até tentaram marcar uma ligação de vendas com a equipe de segurança da Kraken durante todo o desastre.

CertiK não respondeu imediatamente ao pedido de comentários da DL News.

Em um tweet, Percoco disse que a CertiK estava extorquindo a exchange, em vez de hackear de chapéu branco.

Regras básicas

Programas de recompensa por bugs são comuns nas indústrias de criptografia e tecnologia.

Qualquer projeto de criptografia que valha seu código reserva dinheiro para várias auditorias de seus contratos inteligentes e outra quantia para recompensar hackers astutos – mas éticos – que identificam um bug.

No mês passado, um pesquisador ganhou US$ 2 milhões por identificar um bug na rede Sei da camada 1. Kraken paga até US$ 1,5 milhão por bugs críticos como o que aconteceu recentemente.

Percoco, pesquisador de segurança desde o final dos anos 90, diz que o programa Kraken existe há uma década. Sua caixa de entrada fica repleta de explorações falsas de pessoas que buscam um pagamento rápido.

Ele até achou que o relatório da CertiK era falso.

“O contato foi ‘você precisa entrar em contato conosco o mais rápido possível’ e não havia informações de contato. Eu não conseguia nem enviar mensagem direta”, disse ele. “Era um pouco questionável se era alguém apenas tentando nos enganar.”

bandeiras vermelhas

Ainda assim, a equipe de cinco pessoas que monitora a caixa de entrada dia e noite deve analisar cada relatório. Com a Kraken gerando mais de US$ 1 bilhão em volume diário de negociações, há muito em jogo.

A falta de informações de contato não foi o único sinal de alerta, disse Percoco.

Os colecionadores de recompensas precisam seguir quatro regras para relatar bugs. Primeiro, eles devem reportar o bug à empresa assim que o identificarem.

Em segundo lugar, os colecionadores de recompensas devem provar que podem explorar o bug. Terceiro, ao fornecerem provas, devem apenas receber dinheiro suficiente para provar a vulnerabilidade.

E, finalmente, eles precisam contratar a empresa para testar novamente a exploração e ver se a empresa conseguiu corrigi-la.

A CertiK adotou uma abordagem diferente, quebrando todas as quatro regras, segundo Percoco.

Dores de crescimento da criptografia

Com BlackRock e Fidelity chegando ao espaço, segurança e recompensas de bugs estão em destaque. Mas, ao contrário de outras indústrias, onde as melhores práticas duram anos, na criptografia elas podem durar apenas alguns dias.

As empresas ainda estão investindo dinheiro em programas de recompensa por bugs, apesar do último incidente.

De acordo com a plataforma de recompensas por bugs HackerOne, a exchange cripto Crypto.com oferece US$ 80.000 por um bug crítico. O serviço de custódia Fireblocks oferece uma recompensa colossal de US$ 250.000 por vulnerabilidades semelhantes.

Mesmo a Coinbase listada publicamente pagará US$ 1 milhão, se você conseguir entrar na exchange.

As recompensas por bugs são redes de segurança caras e às vezes desajeitadas, mas com US$ 664 milhões já roubados este ano, elas ainda são claramente necessárias.

Liam Kelly é correspondente de DeFi na DL News. Entre em contato pelo e-mail liam@dlnews.com.