Kraken revela que falha de segurança permitiu que 'pesquisadores de segurança' desonestos explorassem US$ 3 milhões em investimentos

A corretora americana Kraken perdeu quase US$ 3 milhões de seu caixa depois que uma empresa de segurança não identificada explorou uma falha em sua plataforma. O diretor de segurança, Nick Percoco, revelou o ocorrido em uma publicação no X, afirmando que a empresa de segurança se recusou a devolver os fundos e agora exige uma recompensa maior.

Leia também: A corretora de criptomoedas DMM Bitcoin promete reembolsar usuários após ataque hacker de US$ 300 milhões.

Em resposta, a Kraken encaminhou o caso às autoridades policiais e o tratará como crime. No entanto, os usuários não precisam se preocupar, pois a corretora afirma já ter resolvido a vulnerabilidade e que nenhuma conta de usuário foi afetada.

O bug do Kraken permite a impressão de dinheiro

Segundo Percoco, um pesquisador de segurança alertou a Kraken sobre uma falha crítica por meio de seu programa de recompensas por bugs em 9 de junho. Após investigações internas, a equipe de segurança da corretora descobriu uma vulnerabilidade que poderia permitir que um invasor iniciasse um depósito em sua conta Kraken e recebesse os fundos sem concluir a transação. Um atacante malicioso poderia gerar milhões de dólares instantaneamente explorando essa falha.

Ele explicou:

“Descobrimos uma falha isolada. Isso permitiu que um atacante malicioso, sob as circunstâncias certas, iniciasse um depósito em nossa plataforma e recebesse fundos em sua conta sem concluir totalmente o depósito.”

A equipe de segurança interna mitigou o problema em 47 minutos e o corrigiu completamente algumas horas depois. No entanto, a empresa descobriu que a falha resultou de uma alteração recente em sua interface de usuário que permitia que as contas dos clientes fossem creditadas antes da compensação de seus ativos. Embora a alteração tenha sido integrada para viabilizar a negociação instantânea, ela não foi totalmente testada contra esse tipo de risco.

No entanto, Percoco acrescentou que odent não afetou os ativos dos usuários e que a exploração da vulnerabilidade afetou apenas o tesouro da Kraken.

Os pesquisadores de segurança são criminosos

Entretanto, uma análise da vulnerabilidade revelou que três contas exploraram a falha, e uma dessas contas estava registrada em nome do pesquisador de segurança que inicialmente contatou a corretora.

Leia também: Kraken considera retirar USDT da bolsa em resposta às novas regulamentações da UE

Embora a conta do pesquisador tenha usado a falha apenas para creditar a si mesma US$ 4, o suficiente para provar que o bug era real, as outras duas contas sacaram quase US$ 3 milhões de suas contas Kraken usando a mesma vulnerabilidade. Curiosamente, essas contas estavam associadas a pessoas ligadas ao pesquisador de segurança.

A Kraken explicou que suas tentativas de reaver os fundos foram em vão, já que os pesquisadores agora exigem um pagamento maior, que consideram proporcional ao risco do bug.

Percoco descreveu isso como um ato de extorsão, o que contradiz o princípio por trás do programa de recompensas por bugs. Ele acrescentou que violar as regras que dão aos hackers éticos a licença para hackear transforma os pesquisadores de segurança em criminosos, e a plataforma os está tratando como tal.