Correção rápida de Kraken: como um bug crítico quase levou à impressão gratuita de dinheiro na bolsa

Kraken, uma bolsa líder global de criptomoedas, enfrentou recentemente um desafio de segurança significativo. A plataforma foi alertada por um pesquisador de segurança sobre uma vulnerabilidade crítica que poderia ter permitido a criação não autorizada de ativos digitais. Este incidente sublinha os desafios contínuos enfrentados pelas plataformas de ativos digitais na manutenção de medidas de segurança robustas.

Ao receber a denúncia, a equipe de segurança da Kraken investigou rapidamente o assunto, distinguindo-o dos alarmes falsos comuns. O bug identificado foi particularmente grave – permitiu aos utilizadores registar depósitos e receber créditos correspondentes nas suas contas sem a transferência real de fundos. 

Essa falha, originada de uma atualização recente da experiência do usuário que creditou prematuramente as contas dos usuários antes da confirmação do depósito, representava um risco hipotético de “imprimir” ativos digitais do nada.

Implicações e ações tomadas

A investigação revelou que apenas três contas exploraram o bug, incluindo a do denunciante. Embora o pesquisador tenha demonstrado a exploração criando uma quantidade nominal de criptomoeda, eles não conseguiram relatar isso oficialmente por meio do programa Bug Bounty da Kraken. 

Em vez disso, eles divulgaram o método a duas outras partes que exploraram a vulnerabilidade para extrair milhões em criptomoedas, culminando em retiradas não autorizadas totalizando aproximadamente US$ 3 milhões.

Nick Percoco, diretor de segurança da Kraken, observou o desafio em lidar com a situação, dado o relatório inicial incompleto, que carecia de detalhes cruciais da transação. 

Atualização de segurança do Kraken:Em 9 de junho de 2024, recebemos um alerta do programa Bug Bounty de um pesquisador de segurança. Nenhum detalhe foi divulgado inicialmente, mas seu e-mail afirmava ter encontrado um bug “extremamente crítico” que lhes permitiu inflar artificialmente seu saldo em nossa plataforma.

-Nick Percoco (@c7five) 19 de junho de 2024

O diálogo com os investigadores foi interrompido quando estes exigiram um resgate em vez de devolver os fundos, propondo um pagamento com base no potencial dano financeiro que o bug poderia ter infligido. 

Kraken, rotulando estas exigências como extorsão, recusou-se a revelar publicamente o nome da empresa de segurança envolvida e está a intentar ações legais, tratando a questão como um caso criminal. A empresa garantiu aos usuários que nenhum ativo do cliente foi comprometido em nenhum momento.