O posto Crypto Exchange Kraken perde US$ 3 milhões devido à exploração de falha de segurança apareceu pela primeira vez em Coinpedia Fintech News

A plataforma de negociação de criptografia líder mundial, Kraken, admitiu recentemente que foi vítima de um ataque que aproveitou com sucesso uma vulnerabilidade de dia zero para roubar criptografia no valor de milhões.

A exploração revelada

Kraken recebeu um e-mail de seu pesquisador Bug Bounty em 9 de junho de 2024, que o alertou sobre uma vulnerabilidade grave na rede. A falha permitiu que um invasor manipulasse os números do balanço patrimonial do site a um nível não suportado por fundos reais, conforme explicado pelo diretor de segurança da Kraken, Nick Percoco. 

Esta vulnerabilidade crítica permitiu ao invasor fazer depósitos e sacar dinheiro de sua conta sem concluir o processo de depósito.

Resposta rápida, mas não rápida o suficiente

Kraken conseguiu responder ao alerta e eliminar o problema de segurança em 47 minutos. O problema foi atribuído a uma nova interface de usuário introduzida há algum tempo, que permitia aos clientes fazer depósitos e utilizar o dinheiro antes que os depósitos fossem identificados pela câmara de compensação, se é que alguma vez. 

Embora Kraken tenha afirmado que nenhum dinheiro de cliente foi perdido durante a infiltração, o bug possibilitou que pessoas mal intencionadas depositassem e sacassem dinheiro falso.

Nesse caso, três contas começaram a tentar o mesmo movimento dentro de uma semana e todas tentaram transferir US$ 3 milhões para fora da exchange. Destas, uma conta pertencia ao pesquisador de segurança que relatou recentemente esse bug.

Quanto à primeira vulnerabilidade identificada, Percoco comentou que uma pessoa que pretendia explorá-la investiu US$ 4 em criptografia para ilustrar o problema e isso poderia ser suficiente para um relatório de recompensa de bug e recompensa subsequente. No entanto, o pesquisador decidiu dar detalhes do bug a dois outros participantes, coletivamente, que conseguiram roubar quase US$ 3 milhões dos tesouros de Kraken.

Dilema ético ou extorsão?

Quando Kraken abordou os indivíduos para devolver os fundos roubados e fornecer uma exploração de prova de conceito (PoC), os pesquisadores exigiram pagamento em troca da devolução dos ativos. A Percoco condenou este comportamento como extorsão, enfatizando que violava os princípios éticos do hacking de chapéu branco.

Kraken está tratando o incidente como um caso criminal e em coordenação com as agências de aplicação da lei

Leia também: CHOCANTE: Esquemas criptográficos de “abate de porcos” em ascensão! O que você deveria saber