O diretor de segurança da exchange de criptomoedas Kraken, Nick Percoco, disse ter recebido um alerta de que havia uma vulnerabilidade “altamente crítica” no sistema que poderia aumentar artificialmente o equilíbrio da plataforma. 🚨

A vulnerabilidade, que foi descoberta e corrigida no Kraken, permitiu que invasores recebessem fundos em suas contas sem o processo completo de depósito. O problema surgiu após uma atualização da interface do usuário que permitiu que os fundos fossem creditados nas contas dos clientes antes que seus ativos fossem totalmente compensados.

Descobriu-se que três contas exploraram esta vulnerabilidade em um curto período de tempo. Uma dessas contas pertencia ao pesquisador de segurança que inicialmente descobriu e relatou o bug no sistema. Essas três contas conseguiram sacar quase US$ 3 milhões das contas Kraken.

Depois que Kraken abordou os pesquisadores de segurança com uma oferta de recompensá-los pela descoberta da vulnerabilidade, os pesquisadores se recusaram a devolver os fundos até que a exchange avaliasse o potencial impacto financeiro do bug.

De acordo com Percoco, o incidente é percebido como extorsão, e não como atividade legítima de hacking de chapéu branco. Ele enfatizou que a Kraken está considerando tal incidente como uma questão criminal e pretende cooperar com as agências de aplicação da lei.

O programa Bug Bounty apoia a missão da Kraken de manter os usuários seguros no mercado de criptomoedas. Em 2023, o programa reconheceu 22 relatórios de um total de 461 candidaturas. 💼