Kraken recupera US$ 3 milhões em fundos perdidos após exploração de Bug Bounty

Kraken recupera US$ 3 milhões em fundos perdidos após exploração de Bug Bounty

A exchange de criptomoedas Kraken recuperou com sucesso quase US$ 3 milhões em ativos digitais após uma exploração de recompensa de bug de alto perfil pela CertiK. Nicholas Percoco, diretor de segurança da Kraken, confirmou a recuperação em uma postagem de 20 de junho no X, afirmando: “Atualização: agora podemos confirmar que os fundos foram devolvidos (menos uma pequena quantia perdida em taxas).” Este anúncio veio depois que a Percoco revelou inicialmente o desaparecimento dos fundos em 19 de junho, atribuindo o incidente a um “pesquisador de segurança” que explorou um bug.

Kraken alegou que o pesquisador de segurança havia extorquido a exchange, recusando-se a devolver os fundos sem recompensa. A empresa de segurança Blockchain CertiK logo se identificou como a “pesquisadora de segurança” envolvida no incidente. Em uma postagem X de 19 de junho, a CertiK detalhou que havia informado Kraken sobre uma exploração que permitiu a retirada de milhões das contas da exchange. A CertiK afirmou ainda que a Kraken ameaçou seus funcionários de reembolsar a quantidade incompatível de criptografia dentro de um prazo não razoável, sem fornecer endereços de reembolso.

A saga levantou questões sobre a necessidade da retirada de quase US$ 3 milhões. Percoco observou inicialmente que uma transferência de apenas US$ 4 seria suficiente para provar o bug e se qualificar para uma recompensa considerável do programa de recompensas de Kraken. No entanto, a CertiK defendeu as suas ações, explicando que a grande soma fazia parte de um esforço para testar os limites dos controlos de segurança e risco do Kraken. “Queremos testar o limite da proteção e dos controles de risco do Kraken. Depois de vários testes em vários dias e perto de US$ 3 milhões em criptografia, nenhum alerta foi acionado e ainda não descobrimos o limite”, afirmou CertiK.

A CertiK também esclareceu que inicialmente não solicitou uma recompensa; em vez disso, Kraken mencionou a recompensa primeiro. "Nunca mencionamos nenhum pedido de recompensa. Foi Kraken quem primeiro mencionou sua recompensa para nós, enquanto respondemos que a recompensa não era o tópico prioritário e queríamos ter certeza de que o problema foi resolvido", elaborou CertiK. Eles acrescentaram que nenhum fundo de usuário do Kraken estava em risco, uma vez que os fundos explorados foram “cunhados do ar”.