A empresa de segurança Blockchain CertiK confirmou que estava por trás de uma exploração de bug que resultou em uma retirada não autorizada de US$ 3 milhões em tokens do Kraken.

A CertiK, empresa de segurança blockchain com sede em Nova York, admitiu estar por trás de uma exploração de bug que resultou em uma retirada não autorizada de US$ 3 milhões em tokens da exchange cripto Kraken.

Em um tópico de 19 de junho no X, a CertiK revelou que havia identificado uma série de “vulnerabilidades críticas” na exchange Kraken que poderiam “potencialmente levar a centenas de milhões de dólares em perdas”.

CertiK identificou recentemente uma série de vulnerabilidades críticas na bolsa @krakenfx que podem levar a perdas de centenas de milhões de dólares. A partir de uma descoberta no sistema de depósito @krakenfx, onde ele pode não conseguir diferenciar entre diferentes internos… pic.twitter.com/ JZkMXj2ZCD

-CertiK (@CertiK) 19 de junho de 2024

De acordo com CertiK, o problema foi identificado pela primeira vez em 5 de junho, e Kraken falhou em vários testes, indicando que o sistema de defesa profunda da exchange estava “comprometido em múltiplas frentes”. A empresa observou particularmente que conseguiu contornar os controles de risco de retirada da bolsa sem acionar quaisquer alertas.

“Uma enorme quantidade de criptomoedas fabricadas (no valor de mais de 1 milhão de dólares) pode ser retirada da conta e convertida em criptomoedas válidas. Pior ainda, nenhum alerta foi acionado durante o período de testes de vários dias. Kraken só respondeu e bloqueou as contas de teste dias depois de relatarmos oficialmente o incidente.”

CertiK

Você também pode gostar: Chefe de segurança da Kraken revela que mudança de UX resultou em exploração de bug de US$ 3 milhões

Ao descobrir as falhas, a CertiK afirma ter informado a Kraken, cuja equipe de segurança classificou o problema como “crítico”. No entanto, depois que a exploração foi identificada e corrigida, a CertiK alega que a equipe de operações de segurança da Kraken “ameaçou” funcionários individuais da CertiK, exigindo o reembolso de uma “quantidade incompatível de criptografia em um prazo irracional, mesmo sem fornecer endereços de reembolso”.

A CertiK instou a Kraken a “cessar quaisquer ameaças contra hackers de chapéu branco”, afirmando seu compromisso com a comunidade web3 “no espírito de transparência”. No entanto, o incidente gerou controvérsia e ceticismo dentro da comunidade blockchain, já que os pesquisadores do blockchain destacaram discrepâncias no cronograma e nas reivindicações da CertiK.

HAHAHHA SEUS PALHAÇOS DE PORRANão há absolutamente NENHUM universo onde isso seja "pesquisa de segurança de chapéu branco". Kraken está sendo incrivelmente paciente por não chamar isso abertamente do que é claramente: um roubo multimilionário com um lado de extorsão.

– Tay 💖 (@tayvano_) 19 de junho de 2024

Como observou o diretor de tecnologia da Cyvers, Meir Dolev, em sua conta X, um endereço associado à CertiK iniciou atividades suspeitas em várias redes blockchain semanas antes do incidente Kraken ser relatado pela primeira vez, levantando questões sobre o cronograma fornecido pela CertiK.

Após o Incidente @krakenfx, atividade semelhante começou na base há 26 dias!! O mesmo hash de assinatura também é usado no Polygon há 14 dias. Então, devemos acreditar na linha do tempo da Cetik que eles encontraram a vulnerabilidade apenas em 5 de junho?@tayvano_ pic.twitter.com/cvAnVrTg67

-Meir Dolev (@Meir_Dv) 19 de junho de 2024

Em uma postagem de acompanhamento no tópico da CertiK, o diretor da Coinbase, Conor Grogan, apontou que os endereços associados à CertiK enviaram parte da criptografia retirada para o Tornado Cash, um serviço de mistura sancionado pelo Departamento de Controle de Ativos Estrangeiros (OFAC) do Departamento do Tesouro dos EUA. por facilitar aproximadamente US$ 7 bilhões em lavagem de criptografia desde 2019.

Os relatórios também alegam que os endereços associados ao CertiK enviaram partes da criptografia retirada para ChangeNOW, uma troca de criptografia sem custódia. Até o momento desta publicação, a CertiK não fez declarações públicas sobre por que interagiu com o Tornado Cash e o ChangeNOW, embora afirme ter devolvido todos os tokens retirados ao Kraken.

Leia mais: Telegram refuta a alegação de risco de segurança de download automático da CertiK