Kraken explorada em quase US$ 3 milhões devido a um bug
A Kraken, uma conhecida exchange de criptomoedas, revelou recentemente que um bug permitia que as pessoas depositassem dinheiro em suas contas sem realmente concluir o depósito. Esse bug foi explorado em quase US$ 3 milhões dos cofres da Kraken antes de ser corrigido. O Diretor de Segurança (CSO) da Kraken compartilhou detalhes sobre esse incidente.
Descoberta do bug
Em 9 de junho, o programa de recompensa por bugs da Kraken recebeu um alerta sobre um bug “extremamente crítico”. Esse alerta foi enviado por um pesquisador de segurança que notou uma falha grave. De acordo com o CSO da Kraken, Nick Percoco, esse bug permitia que alguém inflasse artificialmente o saldo de sua conta. Isso significava que eles poderiam iniciar um depósito e receber fundos sem concluir o processo de depósito.
Como o bug funcionava
O bug se deveu a uma alteração recente no design da Experiência do Usuário (UX) da plataforma da Kraken. A falha tornou possível que as contas fossem creditadas antes que os depósitos de ativos fossem totalmente compensados. Isso permitiu que invasores “imprimissem ativos” em suas contas temporariamente. No entanto, Percoco garantiu que nenhum ativo do cliente estava em risco; o problema estava nos próprios fundos do tesouro da Kraken.
Exploração antes da correção
A Kraken corrigiu rapidamente o bug poucas horas após o alerta. No entanto, uma investigação revelou que três contas já haviam explorado o bug em poucos dias. Uma dessas contas pertencia ao pesquisador de segurança que encontrou o bug. Esse indivíduo alegou estar testando a falha creditando sua conta com US$ 4. Em seguida, eles entraram com um relatório de recompensa por bug e reivindicaram uma recompensa.
Exploração maior por associados
A situação ficou mais séria quando foi descoberto que o pesquisador havia compartilhado o bug com outras duas pessoas. Essas pessoas usaram o bug para sacar quantias muito maiores, quase US$ 3 milhões no total, dos cofres da Kraken. Percoco esclareceu que esse dinheiro veio dos fundos da Kraken, não dos ativos dos clientes.
Resposta da Kraken
A Kraken pediu aos pesquisadores que devolvessem os fundos e fornecessem um relato completo de suas atividades. No entanto, os pesquisadores se recusaram a devolver o dinheiro, a menos que a Kraken revelasse o tamanho potencial da vulnerabilidade. Percoco rotulou essa demanda como extorsão, afirmando que não era um ato de hackers éticos.
Ações legais e medidas de segurança
Devido à violação de seus termos de recompensa por bug, a Kraken decidiu tratar o caso como criminal. Eles optaram por não divulgar o nome da empresa de pesquisa envolvida, acreditando que ela não merecia reconhecimento. Em vez disso, a Kraken se coordenou com as agências de aplicação da lei para lidar com a situação.
Importância dos programas de recompensa por bugs
Este incidente destaca a importância dos programas de recompensa por bugs na identificação e correção de vulnerabilidades. Os programas de recompensa por bugs são projetados para recompensar pesquisadores que encontram e relatam bugs. No entanto, também mostra os riscos potenciais quando os pesquisadores não seguem as diretrizes éticas.
Protegendo as exchanges de criptomoedas
As exchanges de criptomoedas como a Kraken devem melhorar constantemente suas medidas de segurança para se proteger contra tais explorações. Isso inclui testes completos de novos recursos e uma resposta rápida a quaisquer problemas relatados. Ao fazer isso, elas podem proteger suas plataformas e manter a confiança de seus usuários.
O recente incidente de exploração de bug da Kraken serve como um lembrete dos desafios enfrentados pelas exchanges de criptomoedas. Com quase US$ 3 milhões retirados de seus cofres, a Kraken agiu rapidamente para corrigir o bug e agora está entrando com uma ação legal contra os responsáveis. Este caso ressalta a importância de medidas de segurança robustas e práticas éticas na indústria de criptomoedas.