A exchange norte-americana Kraken perdeu quase US$ 3 milhões em seu tesouro depois que uma empresa de segurança não identificada explorou um bug em sua plataforma. O diretor de segurança, Nick Percoco, divulgou isso em uma postagem no X, afirmando que a empresa de segurança se recusou a devolver os fundos e agora exige um pagamento maior como recompensa.

Leia também: Crypto Exchange DMM Bitcoin promete reembolsar usuários após hack de US$ 300 milhões

Em resposta, Kraken encaminhou o assunto às agências de aplicação da lei e irá tratá-lo como criminoso. No entanto, os usuários não precisam se preocupar, pois a exchange afirma que já resolveu a vulnerabilidade e nenhuma conta de usuário foi afetada.

Bug do Kraken permite impressão de dinheiro

De acordo com Percoco, um pesquisador de segurança alertou Kraken sobre um bug crítico por meio de seu programa Bug Bounty em 9 de junho. Após investigações internas, a equipe de segurança da exchange descobriu uma vulnerabilidade que poderia permitir que um malfeitor iniciasse um depósito em sua conta Kraken e recebesse o fundos sem completar o depósito. Um invasor mal-intencionado poderia imprimir milhões do nada por meio dessa exploração.

Ele explicou:

“Descobrimos um bug isolado. Isso permitiu que um invasor mal-intencionado, nas circunstâncias certas, iniciasse um depósito em nossa plataforma e recebesse fundos em sua conta sem concluir totalmente o depósito.”

A equipe de segurança interna mitigou o problema em 47 minutos e corrigiu-o completamente após algumas horas. No entanto, a empresa descobriu que o bug resultou de uma mudança recente em sua experiência do usuário que permitiu que as contas dos clientes fossem creditadas antes que seus ativos fossem compensados. Embora a mudança tenha sido integrada para permitir a negociação instantânea, não foi totalmente testada contra este tipo de risco.

No entanto, Percoco acrescentou que o incidente não afetou os ativos dos usuários e que as explorações da vulnerabilidade afetaram apenas o tesouro Kraken.

Os pesquisadores de segurança são criminosos

Enquanto isso, uma análise da vulnerabilidade descobriu que três contas exploraram a falha, e uma dessas contas foi registrada sob o nome do pesquisador de segurança que inicialmente contatou a exchange.

Leia também: Kraken considera retirar o USDT em resposta às novas regulamentações da UE

Embora a conta do pesquisador tenha usado a falha apenas para creditar US$ 4, o suficiente para provar que o bug era real, as outras duas contas retiraram quase US$ 3 milhões de suas contas Kraken usando a mesma exploração. Curiosamente, essas contas estavam associadas a associados do pesquisador de segurança.

Kraken explicou que suas tentativas de obter os fundos devolvidos foram inúteis, já que os pesquisadores agora estão pedindo um pagamento mais alto que acreditam ser proporcional ao risco do bug.

Percoco descreveu isso como um ato de extorsão, o que contradiz o princípio por trás do programa Bug Bounty. Ele acrescentou que violar as regras que dão aos hackers de chapéu branco a licença para hackear torna os pesquisadores de segurança criminosos, e a bolsa os trata como tal.