A empresa de segurança criptográfica CertiK detectou grandes vulnerabilidades no Kraken

A CertiK, uma das empresas que prestam serviços de segurança blockchain, afirmou ter detectado grandes vulnerabilidades na exchange Kraken, com sede nos EUA, e que isso poderia levar a perdas de centenas de milhões de dólares. CertiK afirmou que as vulnerabilidades foram compartilhadas com a unidade relevante da Kraken e que a unidade aceitou esses erros e vulnerabilidades. Kraken, por outro lado, anunciou que foi removido pouco tempo depois que o erro foi detectado, mas afirmou que os funcionários da CertiK também roubaram milhões de dólares do mercado de ações.

A CertiK, conhecida por seu trabalho de segurança em finanças descentralizadas e contratos inteligentes, anunciou que detectou grandes vulnerabilidades na Kraken, uma exchange centralizada.

“Criptomoedas falsas podem ser retiradas como reais”

Afirmando que ocorreram alguns erros nas transações de investimento no Kraken na primeira fase, CertiK afirmou que, com base nisso, também foram detectadas outras e importantes vulnerabilidades:

“Descobrimos que algumas diferenças no sistema de depósitos do Kraken eram indistinguíveis e aprofundámos ainda mais a nossa investigação. Conduzimos nossa pesquisa em torno de 3 questões.

*Uma pessoa mal-intencionada pode fingir ter depositado criptomoedas que não estão em uma conta no Kraken?

*A mesma pessoa pode retirar esses fundos irreais do mercado de ações como se fossem reais?

*Quais sistemas de proteção de ativos a Kraken coloca em prática quando chega uma grande solicitação de saque?

Como resultado dos nossos testes, descobrimos que o Kraken não conseguiu passar em nenhum desses testes. Determinamos que os mecanismos de defesa do Kraken podem ser contornados em vários lugares. Como resultado, milhões de dólares em criptomoedas fabricadas e não reais podem ser depositados em qualquer conta Kraken, que pode ser convertida em criptomoedas reais e retirada da conta.”

“Eles fecharam as contas e ameaçaram-nas”

A declaração da CertiK não se limitou apenas a estes. A empresa afirmou que os avisos necessários foram feitos à Kraken, mas após esses avisos, as contas foram encerradas e eles foram solicitados a devolver as criptomoedas retiradas dentro de um período de tempo não razoável:

“Depois de fornecer as informações necessárias à Kraken, a equipe de segurança da empresa sinalizou o problema como ‘Crítico’, que é a classificação de segurança de mais alto nível. Após algumas falas bem-intencionadas, ameaçaram nossos funcionários sobre a devolução das criptomoedas sacadas, que nem correspondiam às reais. “Mesmo pedindo pagamento, eles nem enviaram o endereço.”

Por fim, a CertiK afirmou que continuará a trabalhar para o mundo criptográfico e para a comunidade Web3 e disse: “Alertamos a Kraken para acabar com as ameaças que envia a hackers bem-intencionados”.

Declaração de Kraken: Eles roubaram 3 milhões de dólares

Por outro lado, Nick Percoco, diretor de segurança da Kraken, fez uma declaração sobre o assunto do X. Afirmando que após o problema ser relatado as equipes agiram em pouco tempo e as vulnerabilidades foram fechadas, o gestor afirmou que pessoas que se diziam pesquisadores de segurança roubaram 3 milhões de dólares do Kraken:

“Este pesquisador de segurança inicialmente debitou US$ 4 da conta e comprovou o bug. Na verdade, isso foi suficiente para ver a lacuna. Essa pessoa pode ter recebido uma quantia significativa de dinheiro após relatar o bug à nossa equipe de recompensas. Mas ele também contou a duas outras pessoas sobre o déficit. Essas pessoas retiraram US$ 3 milhões do Kraken. Esse dinheiro pertencia à Kraken, não aos clientes. O relatório inicial não incluiu detalhes sobre esta transação. Pedimos-lhes o relatório completo, mas eles ainda não responderam. “Este não é um caso de hacker bem-intencionado, é extorsão.”

-Hakan Ateşler