Kraken diz que hackers recorreram à "extorsão" após explorar bug por US$ 3 milhões

• Kraken disse que pesquisadores de segurança terceirizados encontraram uma vulnerabilidade, que foi corrigida pela exchange de Cripto .
• Os pesquisadores retiraram secretamente quase US$ 3 milhões e se recusaram a devolvê-los sem primeiro ver o valor da recompensa, disse Kraken.
• O editor de código de blockchain Certik disse que encontrou uma vulnerabilidade na plataforma da Kraken e afirma ter sido "ameaçado" pela exchange.

A exchange de Cripto Kraken disse que "pesquisadores de segurança" que encontraram uma vulnerabilidade na plataforma recorreram à "extorsão" após sacar cerca de US$ 3 milhões do tesouro da exchange.

Nick Percoco, diretor de segurança da Kraken, disse em uma publicação na plataforma de mídia social X (antigo Twitter) que a empresa recebeu um alerta de "programa de recompensa por bug" de um pesquisador de segurança em 9 de junho sobre uma vulnerabilidade que permite que os usuários inflem artificialmente seu saldo. O bug "permitiu que um invasor malicioso, sob as circunstâncias certas, iniciasse um depósito em nossa plataforma e recebesse fundos em sua conta sem concluir totalmente o depósito", acrescentou Percoco.

Ao receber o relatório, a Kraken corrigiu o problema rapidamente e nenhum fundo de usuário foi afetado, observou Percoco.

O que aconteceu depois levantou suspeitas para a equipe de Kraken.

O pesquisador de segurança, ao encontrar o bug, supostamente o divulgou para outros dois indivíduos, que então "fraudulentamente" sacaram quase US$ 3 milhões de suas contas na Kraken. "Isso era dos tesouros da Kraken, não de outros ativos de clientes", disse Percoco.

O relatório de bug inicial T mencionou as transações dos outros dois indivíduos e, quando a Kraken pediu mais detalhes sobre suas atividades, eles se recusaram.

"Em vez disso, eles exigiram uma ligação com sua equipe de desenvolvimento de negócios (ou seja, seus representantes de vendas) e não concordaram em devolver nenhum fundo até que forneçamos uma quantia especulada em $ que esse bug poderia ter causado se eles não tivessem divulgado. Isso não é hacking white-hat, é extorsão!" Percoco escreveu.

A Kraken T revelou quem eram os pesquisadores, mas o editor de código do blockchain, Certik, disse posteriormente em um postagem em mídia social que encontrou diversas vulnerabilidades na exchange de Cripto .

A Certik disse que conduziu "testes de vários dias" e observou que o bug poderia ser explorado para criar milhões de dólares em Cripto. "Milhões de dólares podem ser depositados em QUALQUER conta Kraken. Uma enorme quantidade de Cripto fabricadas (no valor de mais de 1 milhão de dólares) pode ser retirada da conta e convertida em criptomoedas válidas. Pior ainda, nenhum alerta foi disparado durante o período de testes de vários dias", disse a postagem.

No entanto, Certik disse que as coisas azedaram após a conversa inicial com a Kraken. "A equipe de operações de segurança da Kraken AMEAÇOU funcionários individuais da CertiK a pagar uma quantia INCOMPARÁVEL de Cripto em um tempo IRRACIONAL, mesmo SEM fornecer endereços de pagamento", acrescentou o post X.

Programas de recompensa por bugs – usados por muitas empresas para fortalecer seus sistemas de segurança – convidam hackers terceirizados, conhecidos como "white hats", para encontrar vulnerabilidades para que a empresa possa consertá-las antes que um ator malicioso as explore. O concorrente da Kraken, a Coinbase, tem umaprograma similarpara ajudar a alertar a troca de vulnerabilidades.

Para receber a recompensa, o programa da Kraken exige que um terceiro encontre o problema, explore a quantia mínima necessária para provar o bug, devolva os ativos e forneça detalhes da vulnerabilidade, disse a Kraken em um comunicado.postagem de blog, acrescentando que, como os pesquisadores de segurança T Siga essas regras, eles T receberão a recompensa.

"Nós contratamos esses pesquisadores de boa fé e, em linha com uma década de execução de um programa de recompensa por bugs, oferecemos uma recompensa considerável por seus esforços. Estamos decepcionados com essa experiência e agora estamos trabalhando com agências de segurança para recuperar os ativos desses pesquisadores de segurança", disse um porta-voz da Kraken à CoinDesk.

Leia Mais: Seu projeto de Cripto precisa de um xerife, não de um caçador de recompensas

ATUALIZAÇÃO (19 de junho, 18:30 UTC):Atualiza a história para adicionar os comentários de Certik.