Neste artigo falamos sobre uma história incrível: há poucos dias a empresa de auditoria Certik identificou uma falha nos sistemas de segurança da exchange de criptomoedas Kraken que poderia levar a um grave hack.
Depois de realizar alguns testes durante 3 dias e executar um ataque de “hack branco” no valor de 3 milhões de dólares, a Certik contatou a Kraken para informá-la sobre o bug, mas inicialmente se recusou a devolver imediatamente o valor roubado.
A exchange de criptomoedas contatou imediatamente as autoridades, tratando a situação como um caso criminal, enquanto a empresa de segurança criptográfica insiste que se trata de um teste típico de um “programa de recompensas”. Agora os fundos parecem ter sido devolvidos.
Vamos ver tudo em detalhes abaixo.
O hack de 3 milhões de dólares contra a exchange cripto Kraken: Certik é o responsável, mas se recusa a devolver o dinheiro
Esta história começa em 9 de junho de 2024, quando a exchange de criptomoedas Kraken recebe uma comunicação informal de um “pesquisador de segurança” que afirma ter descoberto uma vulnerabilidade na plataforma que poderia ter causado um hack em grande escala.
Conforme relatado num tweet post-mortem de Nick Percoco, Chief Security Officer da Kraken, o investigador destacou uma falha nos sistemas de segurança dos depósitos (incapaz de distinguir diferentes estados de transferência interna), que permite aos utilizadores inflacionar o seu saldo e retirar mais moedas do que realmente têm disponíveis. A exchange agiu imediatamente para resolver o problema e em apenas 47 minutos uma equipe de especialistas conseguiu corrigir o bug.
Aqui está o que Percoco relatou:
“O bug permitiu que um invasor mal-intencionado, nas circunstâncias certas, iniciasse um depósito em nossa plataforma e recebesse fundos em sua conta sem concluir totalmente o depósito. Para ser claro, nenhum ativo do cliente esteve em risco”
Atualização de segurança do Kraken:
Em 9 de junho de 2024, recebemos um alerta do programa Bug Bounty de um pesquisador de segurança. Nenhum detalhe foi divulgado inicialmente, mas seu e-mail afirmava ter encontrado um bug “extremamente crítico” que lhes permitiu inflar artificialmente seu saldo em nossa plataforma.
-Nick Percoco (@c7five) 19 de junho de 2024
Até o momento está tudo normal, exceto que a mesma empresa de segurança web3 onde trabalha o pesquisador que contatou Kraken, antes de relatar oficialmente o bug, teria realizado diversos hacks na plataforma no valor total de 3 milhões de dólares.
Imediatamente após a publicação do post da Percoco, a conhecida empresa de auditoria Certik assumiu imediatamente a responsabilidade pelo incidente e revelou o seu papel crucial no assunto.
Certik supostamente “testou” os mecanismos de defesa do Kraken realizando um ataque em grande escala e retirando grandes quantidades de tokens MATIC de 3 contas diferentes e, em seguida, limpando os vestígios dos fundos através do misturador Tornado Cash.
Conforme explicado pela gerente de segurança da exchange, após solucionar o problema, Kraken pediu à Certik a devolução dos fundos, mas ela inicialmente recusou.
Apesar disso, a Certik insiste que a sua atividade está alinhada com os princípios do “white hack”.
Aparentemente Certik não mencionou o papel do explorador de 3 contas no incidente, apesar de ter realizado os testes de retirada nos 3 dias anteriores às comunicações com Kraken.
O pesquisador de segurança que detectou o bug teria pedido uma recompensa substancial por ter identificado uma falha importante que poderia ter implodido em um hack pesado, mas Kraken insistiu em recuperar seus fundos.
Como a empresa de auditoria se recusou a devolver o saque e, de fato, parecia ter agido para ocultar as evidências do hack, a bolsa decidiu tratar a situação como se fosse um caso criminal, notificando as autoridades competentes e as autoridades policiais.
A empresa de segurança web3 havia solicitado à exchange uma recompensa igual ao valor especulado que esse bug poderia ter causado se não tivesse sido divulgado, enfurecendo a equipe da plataforma de exchange.
Percoco comentou em seu perfil X sobre o ocorrido, mostrando toda sua oposição ao comportamento de Certik:
“Isso não é hacking branco, isso é extorsão”.
Não divulgaremos esta empresa de pesquisa porque ela não merece reconhecimento por suas ações. Estamos tratando isso como um caso criminal e estamos coordenando com as agências de aplicação da lei nesse sentido. Estamos gratos por este problema ter sido relatado, mas é aí que esse pensamento termina.
-Nick Percoco (@ c7five) 19 de junho de 2024
A negação da Certik: fundos devolvidos apesar de alguns funcionários terem recebido ameaças da equipe Kraken
A Certik, após se apresentar como a empresa responsável por identificar a falha nos sistemas de depósito, negou imediatamente o que Kraken relatou, destacando seu papel de “hack branco” e suas intenções positivas.
A empresa revelou que montou um hack em grande escala, no valor de 3 milhões de dólares, apenas com o propósito de testar a defesa da exchange, mas também enfatizou que nunca se recusou a devolver o saque, mas sim garantir que tudo foi executado corretamente.
Certik disse que ficou surpresa com o potencial impacto negativo que o bug poderia ter causado, mas especialmente com o fato de os alarmes do Kraken nunca terem sido acionados. Isso foi afirmado em uma postagem:
“Milhões de dólares podem ser depositados em QUALQUER conta Kraken. Uma enorme quantidade de criptomoedas (no valor de mais de 1 milhão de dólares) pode ser retirada da conta e convertida em criptomoedas válidas. Pior ainda, durante o período de testes de vários dias, nenhum alerta foi acionado”.
Além disso, a empresa de auditoria explicou que um membro da equipa de intercâmbio ameaçou o seu próprio investigador de devolver o montante num prazo não razoável (6 horas), sem, no entanto, fornecer um endereço de reembolso.
Isso aconteceu depois que, dias após o hack, as duas empresas fizeram uma ligação para tentar encontrar uma solução e resolver o assunto.
A CertiK identificou recentemente uma série de vulnerabilidades críticas na bolsa @krakenfx que podem levar a perdas de centenas de milhões de dólares.
Começando com uma descoberta no sistema de depósito de @krakenfx, onde ele pode não conseguir diferenciar entre diferentes internos… pic.twitter.com/JZkMXj2ZCD
-CertiK (@CertiK) 19 de junho de 2024
Aparentemente, o que desencadeou o caos foi o valor da recompensa proposta por Kraken, que não foi considerada adequada ao esforço realizado e à potencial exploração evitada. Conforme relatado por um porta-voz da Kraken à Coindesk:
“Envolvemos estes investigadores de boa fé e, em linha com uma década de gestão de um programa de recompensas de bugs, oferecemos uma recompensa considerável pelos seus esforços. Estamos decepcionados com esta experiência e agora estamos trabalhando com as autoridades para recuperar os ativos desses pesquisadores de segurança”.
Hoje a Certik publicou outro post com alguns FAQs para esclarecer melhor sua posição e tirar qualquer dúvida.
A empresa de segurança reitera que confirmou “consistentemente” que devolveria o valor roubado e afirma que agora todos os fundos estão de volta às mãos de Kraken.
Esses fundos foram devolvidos ao remetente em 734,19215 ETH, 29.001 USDT e 1021,1 XMR, enquanto a bolsa havia solicitado expressamente o envio de 155818,4468 MATIC, 907400,1803 USDT, 475,5557871 ETH e 1089,794737 XMR, por um valor total equivalente superior em cerca de 100.000 dólares .
Perguntas e respostas sobre operações whitehat recentes da CertiK-Kraken:
1. Algum usuário real perdeu fundos?
As criptomoedas foram cunhadas do nada e nenhum ativo real de usuário do Kraken esteve diretamente envolvido em nossas atividades de pesquisa.
2. Recusamos a devolução dos fundos?
Não. Em nossa comunicação com…
-CertiK (@CertiK) 20 de junho de 2024
Kraken permanece firme em seu conceito de ética de “hacking branco” e sustenta que o bullying realizado pela Certik pode ser identificado como extorsão.
O programa Bounty da exchange exige que terceiros encontrem o problema, explorem a quantia mínima necessária para testar o bug (sem executar um hack de 3 milhões de dólares), devolvam os recursos e forneçam detalhes sobre a vulnerabilidade.
