TLDR
Kraken descobriu um bug que permitia aos usuários inflar artificialmente seus saldos e sacar fundos sem concluir os depósitos.
A CertiK, uma empresa de segurança blockchain, identificou-se como o “pesquisador de segurança” que explorou o bug e retirou quase US$ 3 milhões dos tesouros da Kraken.
Kraken afirma que a CertiK se recusou a devolver os fundos até que a bolsa fornecesse uma estimativa das perdas potenciais, chamando isso de “extorsão”.
A CertiK defendeu suas ações, afirmando que estava testando o escopo da vulnerabilidade e que a Kraken havia ameaçado seus funcionários de devolver uma quantia incompatível de fundos dentro de um prazo não razoável.
O incidente gerou um debate sobre a ética dos programas de hacking white hat e de recompensa por bugs no setor de criptomoedas.
A exchange de criptomoedas Kraken revelou recentemente que foi vítima de uma vulnerabilidade de segurança que permitiu que usuários inflassem artificialmente seus saldos de conta e sacassem fundos sem completar completamente os depósitos. A exchange relatou que quase US$ 3 milhões foram roubados de seus tesouros como resultado da exploração.
A empresa de segurança de blockchain CertiK se apresentou, identificando-se como a “pesquisadora de segurança” responsável por explorar o bug e retirar os fundos.
O diretor de segurança da Kraken, Nick Percoco, havia acusado anteriormente a equipe de segurança, então não identificada, de "extorsão" por se recusar a devolver os fundos até que a bolsa fornecesse uma estimativa das perdas potenciais se o bug não tivesse sido divulgado.
Atualização de segurança do Kraken:
Em 9 de junho de 2024, recebemos um alerta do programa Bug Bounty de um pesquisador de segurança. Nenhum detalhe específico foi divulgado inicialmente, mas o e-mail deles alegou ter encontrado um bug “extremamente crítico” que permitiu que eles inflassem artificialmente seu saldo em nossa plataforma.
— Nick Percoco (@c7five) 19 de junho de 2024
No entanto, a CertiK defendeu suas ações, alegando que estava testando o escopo da vulnerabilidade e que a Kraken havia ameaçado seus funcionários de devolver uma quantia incompatível de fundos dentro de um prazo irracional, sem nem mesmo fornecer um endereço de reembolso.
A CertiK identificou recentemente uma série de vulnerabilidades críticas na bolsa @krakenfx que podem levar a perdas de centenas de milhões de dólares.
Começando com uma descoberta no sistema de depósito do @krakenfx, onde ele pode não conseguir diferenciar entre diferentes internos… pic.twitter.com/JZkMXj2ZCD
— CertiK (@CertiK) 19 de junho de 2024
A empresa de segurança forneceu um cronograma de eventos, detalhando suas interações com a Kraken e a descoberta da exploração.
De acordo com a CertiK, a vulnerabilidade permitiu que milhões de dólares fossem depositados em qualquer conta da Kraken, com a capacidade de sacar e converter as criptomoedas fabricadas em criptomoedas válidas.
A empresa também alegou que nenhum alerta foi disparado durante o período de testes de vários dias, e a Kraken só respondeu e bloqueou as contas de teste dias após a divulgação inicial.
O incidente gerou um debate sobre a ética do white hat hacking e a eficácia dos programas de recompensa por bugs.
Enquanto alguns argumentam que as ações da CertiK foram justificadas no interesse de testar exaustivamente a vulnerabilidade, outros acreditam que a empresa cruzou os limites ao retirar uma quantia tão grande de dinheiro e se recusar a devolvê-la prontamente.
A Kraken sustenta que as ações da CertiK não se alinham com os princípios do hacking white hat e que está trabalhando com agências de segurança pública para recuperar os ativos. A exchange também enfatizou que nenhum fundo de usuário foi afetado pela exploração, já que o dinheiro roubado veio dos próprios tesouros da Kraken.
A postagem Bug Bounty deu errado: Kraken acusa CertiK de extorsão, CertiK defende suas ações apareceu primeiro em Blockonomi.
