O bug que Kraken disse ter corrigido foi usado para explorar outras exchanges centralizadas já no mês passado, de acordo com vários especialistas em segurança de criptomoedas.

Esse é o mais recente desenvolvimento na saga de dois grandes players de criptografia, a exchange norte-americana Kraken e a auditora CertiK.

Na quarta-feira, Kraken disse que corrigiu um bug “crítico” que permitiu que milhões de dólares em criptografia fossem retirados erroneamente da bolsa com sede nos EUA.

A CertiK foi criticada depois de admitir estar por trás da exploração desse bug. A empresa retirou US$ 3 milhões da Kraken durante vários dias no início de junho.

Depois de uma discussão pública, a CertiK devolveu todos os fundos que recebeu e chamou suas ações de operação de chapéu branco, o que significa que eles agiram ostensivamente como hackers éticos com a intenção de identificar e corrigir vulnerabilidades de segurança, em vez de explorá-las para fins maliciosos.

Os registros Onchain identificados pela primeira vez pela plataforma de segurança Hexagate e confirmados ao DL News por vários outros pesquisadores de segurança mostram que um hacker tentou explorar outras exchanges de criptomoedas – Binance, OKX, BingX e Gate.io – usando o mesmo bug já em 17 de maio.

Essas tentativas ocorreram três semanas antes da CertiK anunciar que encontrou o bug no Kraken em 5 de junho.

“Não temos evidências de que essas exchanges tenham sido impactadas”, postou Hexagate no X. “Nós apenas rastreamos evidências on-chain de atividades semelhantes.”

As exchanges centralizadas de criptomoedas detêm uma quantidade gigantesca de criptomoedas em nome de seus clientes. As cinco principais exchanges de criptomoedas que divulgaram publicamente seus endereços de carteira detêm um valor combinado de US$ 172 bilhões em criptomoedas, de acordo com dados do DefiLlama.

CertiK não respondeu imediatamente ao pedido de comentários da DL News.

Tentativas de exploração

Os registros destacados pela Hexagate mostram que um hacker tentou usar o chamado ataque de “reversão” para enganar as bolsas centralizadas para que lhes permitissem retirar fundos.

Para fazer isso, o hacker criou um contrato inteligente que contém uma transação para depositar fundos em uma bolsa centralizada. O contrato é projetado para que a transação principal seja bem-sucedida, mas o depósito seja revertido.

Isso faz com que a exchange pense que um usuário depositou fundos, mas não o fez. O hacker então solicita um saque da exchange, debitando o valor do depósito falso.

Os registros Onchain mostram várias tentativas de usar tal contrato quando o depósito de fundos na Binance ocorreu na Rede BNB em 17 de maio.

Entre 29 de maio e 5 de junho, o mesmo endereço, assim como outro por ele financiado, fizeram tentativas semelhantes em OKX, BingX e Gate.io em BNB Chain, Arbitrum e Optimism.

A CertiK está envolvida?

Embora a CertiK tenha divulgado publicamente o ataque de reversão, não há provas de que ele estivesse envolvido nos ataques anteriores.

Cada função de contrato inteligente tem um chamado hash de assinatura pelo qual pode ser identificada.

No caso do contrato de ataque reverso, o hash da assinatura não está disponível, o que significa que o nome da função não é conhecido publicamente, disse um pesquisador de segurança que desejou permanecer anônimo ao DL News.

Isso significa que o nome da função para o ataque de reversão é conhecido no CertiK ou outra pessoa também usou exatamente o mesmo nome, disse o pesquisador.

Tim Craig é correspondente de DeFi da DL News em Edimburgo. Entre em contato com ele com dicas em tim@dlnews.com.