O diretor de segurança da exchange de criptomoedas Kraken, Nick Percoco, compartilhou uma postagem na plataforma de mídia social X, informando que no dia 9 de junho, um alerta do programa Bug Bounty foi recebido de um pesquisador de segurança. O alerta, recebido por e-mail, não forneceu detalhes específicos, mas mencionou a descoberta de uma vulnerabilidade “extremamente crítica” que poderia inflar artificialmente o equilíbrio da plataforma.
Kraken identificou e corrigiu uma vulnerabilidade que poderia permitir que um ator mal-intencionado recebesse fundos em sua conta sem concluir o processo completo de depósito. O problema resultou de uma atualização recente da experiência do usuário (UX) que permitiu que as contas dos clientes fossem creditadas antes que seus ativos fossem completamente compensados, facilitando a negociação em tempo real nos mercados de criptomoedas. Essa mudança específica de UX não foi testada adequadamente contra esses possíveis vetores de ataque.
Além disso, foi descoberto que três contas exploraram esta vulnerabilidade num curto espaço de tempo. Após a realização de uma investigação minuciosa, foi determinado que uma dessas contas pertencia ao pesquisador de segurança que inicialmente identificou o bug no sistema e o relatou.
O “pesquisador de segurança” posteriormente compartilhou detalhes desse bug com dois associados. Juntas, essas três contas conseguiram sacar quase US$ 3 milhões das contas da Kraken, especificamente dos tesouros da Kraken e não dos ativos dos clientes. Depois que Kraken entrou em contato com os pesquisadores de segurança para discutir recompensá-los pela descoberta de uma falha de segurança por meio de seu programa Bug Bounty, os pesquisadores se recusaram a devolver quaisquer fundos até que a exchange estimasse o impacto financeiro potencial do bug caso ele não tivesse sido relatado.
Nick Percoco enfatizou que o incidente foi percebido como extorsão e não como uma atividade legítima de hacking de chapéu branco, embora não tenha revelado o nome da empresa de pesquisa envolvida. Ele observou ainda que Kraken vê tal incidente como uma questão criminal e pretende colaborar com as agências de aplicação da lei conforme apropriado.
Para ser claro, nenhum ativo do cliente esteve em risco. No entanto, um invasor mal-intencionado pode efetivamente imprimir ativos em sua conta Kraken por um período de tempo.
-Nick Percoco (@ c7five) 19 de junho de 2024
O programa Kraken Bug Bounty protege usuários de criptomoedas e reconhece 22 relatórios em 2023
Kraken permite a negociação de criptomoedas contra moedas fiduciárias. Além disso, oferece serviços de derivativos de criptomoedas e negociação de futuros. Com base em informações do CoinMarketCap, a Kraken ocupa a sexta posição entre as exchanges globais de criptomoedas, com um volume médio diário de negociação de cerca de US$ 741 milhões.
O programa Bug Bounty apoia a missão da Kraken de proteger os usuários no mercado de criptomoedas. Kraken se compromete a abster-se de ações legais contra pesquisadores de segurança que cumpram todas as políticas do Kraken Bug Bounty. As inscrições para a iniciativa passam por avaliação da Kraken, com pagamentos determinados pela gravidade do bug e emitidos em BTC. Em 2023, o programa reconheceu 22 relatórios de um total de 461 submissões.
A postagem Crypto Exchange Kraken chantageado após relatório de recompensa de bug, $ 3 milhões retirados de ativos do tesouro apareceu pela primeira vez no Metaverse Post.