TLDR
Kraken descobriu um bug que permitia aos usuários inflar artificialmente seus saldos e sacar fundos sem concluir os depósitos.
A CertiK, uma empresa de segurança blockchain, identificou-se como o “pesquisador de segurança” que explorou o bug e retirou quase US$ 3 milhões dos tesouros da Kraken.
Kraken afirma que a CertiK se recusou a devolver os fundos até que a bolsa fornecesse uma estimativa das perdas potenciais, chamando isso de “extorsão”.
A CertiK defendeu suas ações, afirmando que estava testando o escopo da vulnerabilidade e que a Kraken havia ameaçado seus funcionários de devolver uma quantia incompatível de fundos dentro de um prazo não razoável.
O incidente gerou um debate sobre a ética do hacking de chapéu branco e dos programas de recompensa por bugs na indústria de criptomoedas.
A exchange de criptomoedas Kraken revelou recentemente que foi vítima de uma vulnerabilidade de segurança que permitia aos usuários inflar artificialmente o saldo de suas contas e sacar fundos sem completar totalmente os depósitos. A exchange informou que quase US$ 3 milhões foram roubados de seus tesouros como resultado da exploração.
A empresa de segurança Blockchain CertiK se apresentou, identificando-se como o “pesquisador de segurança” responsável por explorar o bug e retirar os fundos.
O diretor de segurança da Kraken, Nick Percoco, já havia acusado a equipe de segurança então anônima de “extorsão” por se recusar a devolver os fundos até que a bolsa fornecesse uma estimativa das perdas potenciais se o bug permanecesse secreto.
Atualização de segurança do Kraken:
Em 9 de junho de 2024, recebemos um alerta do programa Bug Bounty de um pesquisador de segurança. Nenhum detalhe foi divulgado inicialmente, mas seu e-mail afirmava ter encontrado um bug “extremamente crítico” que lhes permitiu inflar artificialmente seu saldo em nossa plataforma.
-Nick Percoco (@ c7five) 19 de junho de 2024
A CertiK, no entanto, defendeu suas ações, alegando que estava testando o escopo da vulnerabilidade e que a Kraken havia ameaçado seus funcionários de devolver uma quantia incompatível de fundos dentro de um prazo não razoável, sem sequer fornecer um endereço de reembolso.
A CertiK identificou recentemente uma série de vulnerabilidades críticas na bolsa @krakenfx que podem levar a perdas de centenas de milhões de dólares.
Começando com uma descoberta no sistema de depósito de @krakenfx, onde ele pode não conseguir diferenciar entre diferentes internos… pic.twitter.com/JZkMXj2ZCD
-CertiK (@CertiK) 19 de junho de 2024
A empresa de segurança forneceu um cronograma de eventos, detalhando suas interações com Kraken e a descoberta da exploração.
De acordo com CertiK, a vulnerabilidade permitiu que milhões de dólares fossem depositados em qualquer conta Kraken, com a capacidade de sacar e converter a criptografia fabricada em criptomoedas válidas.
A empresa também alegou que nenhum alerta foi acionado durante o período de testes de vários dias, e a Kraken só respondeu e bloqueou as contas de teste dias após a divulgação inicial.
O incidente gerou um debate sobre a ética do hacking de chapéu branco e a eficácia dos programas de recompensa por bugs.
Enquanto alguns argumentam que as ações da CertiK foram justificadas no interesse de testar minuciosamente a vulnerabilidade, outros acreditam que a empresa ultrapassou os limites ao retirar uma quantia tão grande de dinheiro e recusar-se a devolvê-la prontamente.
Kraken afirma que as ações da CertiK não estão alinhadas com os princípios do white hat hacking e que está trabalhando com agências de aplicação da lei para recuperar os ativos. A exchange também enfatizou que nenhum fundo de usuário foi afetado pela exploração, já que o dinheiro roubado veio dos próprios tesouros da Kraken.
O post Bug Bounty deu errado: Kraken acusa CertiK de extorsão, CertiK defende suas ações apareceu pela primeira vez no Blockonomi.