O diretor de segurança da Kraken revelou que um bug no sistema de financiamento da bolsa levou a uma perda de US$ 3 milhões após ser explorado por pesquisadores de segurança desonestos.

A exchange de criptomoedas americana Kraken perdeu cerca de US$ 3 milhões em criptomoedas no início de junho, depois que um “pesquisador de segurança” desonesto explorou um bug no sistema de financiamento da exchange. O diretor de segurança da Kraken, Nick Percoco, divulgou o incidente em um tópico X, enfatizando a violação dos padrões éticos por parte dos indivíduos envolvidos.

Todos os dias recebemos relatórios falsos de recompensas de bugs de pessoas que afirmam ser “pesquisadores de segurança”. Isso não é novidade para quem executa um programa de recompensas por bugs. No entanto, tratamos isso com seriedade e rapidamente montamos uma equipe multifuncional para investigar esse problema. Aqui está o que nós encontramos.

-Nick Percoco (@c7five) 19 de junho de 2024

De acordo com Percoco, a equipe recebeu pela primeira vez uma notificação de um “pesquisador de segurança” sobre um possível bug em 9 de junho. Mais tarde, a equipe encontrou uma “falha decorrente de uma mudança recente de UX” que permitiria creditar contas de clientes antes de seus ativos. compensado, permitindo que os clientes negociem efetivamente em mercados criptográficos em tempo real. O CSO da Kraken admitiu que a exchange não testou a mudança de UX em relação a esse vetor de ataque específico antes do ataque.

“Essa mudança de UX não foi testada exaustivamente contra esse vetor de ataque específico”, escreveu Percoco.

Você também pode gostar: Kraken novamente pede para rejeitar o processo da SEC, citando redação incorreta

Depois de corrigir a vulnerabilidade, Kraken descobriu que três contas já haviam explorado a mesma falha com alguns dias de diferença. Em vez de relatar o bug diretamente, o pesquisador de segurança supostamente compartilhou as informações com dois associados, disse Percoco, acrescentando que os indivíduos desconhecidos retiraram quase US$ 3 milhões dos tesouros de Kraken.

Percoco destacou que o relatório inicial do “pesquisador de segurança” não divulgou totalmente o bug, então a equipe teve que reconfirmar alguns detalhes para progredir na recompensa pela identificação bem-sucedida de uma falha de segurança.

Kraken solicitou um relato completo de suas atividades, uma prova de conceito e a devolução dos fundos retirados. No entanto, os indivíduos recusaram-se a obedecer, o que Percoco descreveu como “não hacking de chapéu branco”, mas sim “extorsão”. Ainda não está claro se Kraken identificou todos os invasores ou conseguiu recuperar os fundos roubados.

Leia mais: Crypto Exchange Kraken planeja aumento pré-IPO de US$ 100 milhões