.
Kraken, uma das maiores bolsas de criptomoedas do mundo, acusou um trio de pesquisadores de segurança de descobrir um bug crítico, explorando-o para roubar milhões em dinheiro digital e depois usando fundos roubados para extorquir a bolsa por mais.
A exchange escreveu sobre o problema ontem, dizendo que a exploração permitiu que alguns usuários “aumentassem artificialmente o valor do saldo de sua conta Kraken sem completar totalmente um depósito”. O diretor de segurança da Kraken, Nicholas Percoco, disse no X que os pesquisadores não forneceram nenhum detalhe em seu relatório de recompensa de bugs, mas que sua equipe descobriu o bug em uma hora.
De acordo com Percoco, o problema derivou de uma mudança recente de UX que creditaria as contas dos clientes antes que os ativos fossem realmente compensados, para criar uma sensação artificial de negociações de criptomoedas em tempo real. “Essa mudança de UX não foi completamente testada contra esse vetor de ataque específico”, admitiu Percoco no X.
Simplesmente relatar o bug teria sido suficiente para uma recompensa considerável, acrescentou Percoco. O pesquisador que divulgou a vulnerabilidade, cujo nome Kraken não nomeou “porque não cumpriu nenhuma [bug bounty] expectativas da indústria”, não parou por aí, no entanto.
De acordo com Percoco, o analista por trás da descoberta compartilhou-a com alguns colegas de trabalho, que exploraram a vulnerabilidade para retirar quase US$ 3 milhões da plataforma. Kraken observou que os fundos roubados desta forma eram do tesouro da Kraken e não eram ativos de clientes.
Dado que este é o mundo das criptomoedas, a viagem selvagem não parou no roubo de milhões.
Percoco disse que os pesquisadores se recusaram a fornecer um relato completo de suas atividades relacionadas à exploração, a demonstrar uma prova de conceito ou a devolver os fundos retirados por meio da vulnerabilidade.
“Em vez disso, eles exigiram uma ligação com sua equipe de desenvolvimento de negócios… e não concordaram em devolver nenhum dinheiro até fornecermos uma especulação [dollar] quantidade que esse bug poderia ter causado se eles não o tivessem divulgado”, disse Percoco. “Isso não é hacking de chapéu branco, é extorsão!”
Kraken não respondeu às perguntas de O registro para esta história.
“Estamos tratando isso como um caso criminal e estamos coordenando com as agências de aplicação da lei nesse sentido”, acrescentou Percoco. “Estamos gratos por este problema ter sido relatado, mas é aí que esse pensamento termina.”
Pesquisadores contra-atacam
Kraken pode não querer nomear os pesquisadores por trás da suposta tentativa de extorsão, mas os próprios pesquisadores não estão calados – eles estão acusando Kraken de má conduta.
A empresa de segurança blockchain com sede nos EUA, CertiK, disse no X que era a outra parte nesta disputa e disse que a conversa começou bem até que a equipe de segurança de Kraken resolveu o problema.
“Após conversões iniciais bem-sucedidas na identificação e correção da vulnerabilidade, a equipe de operações de segurança da Kraken AMEAÇOU funcionários individuais da CertiK a reembolsar uma quantidade INCOMPARÁVEL de criptografia em um prazo IRRAZOÁVEL, mesmo SEM fornecer endereços de reembolso”, disse CertiK no X.
A CertiK também afirmou que se ofereceu para devolver os fundos e nunca tentou retê-los, no entanto, a comunidade criptográfica no X não está facilitando a empresa. Vários entrevistados afirmaram que carteiras associadas à CertiK foram capturadas usando misturadores de criptomoedas sancionados pelos EUA, como TornadoCash e a plataforma de troca de criptografia ChangeNOW, enquanto outros destacaram o que alegam serem inconsistências com as divulgações públicas e registros da CertiK na blockchain.
Além disso, embora a Percoco tenha dito que todos os fundos foram devolvidos, menos uma parte que foi perdida devido às taxas de blockchain, vários comentaristas alegam que o valor que a CertiK disse que devia a Kraken era dezenas de milhares de dólares menor do que o que Kraken disse ter sido roubado.
O registro pediu a várias pessoas da CertiK uma explicação sobre as supostas inconsistências em seu relatório e para saber mais sobre o incidente, mas não obteve resposta. ®
.
