A exchange de Cripto Kraken disse que “pesquisadores de segurança” que encontraram uma vulnerabilidade na plataforma recorreram à “extorsão” depois de retirar cerca de US$ 3 milhões do tesouro da exchange.

Nick Percoco, diretor de segurança da Kraken, disse em uma postagem na plataforma de mídia social X (antigo Twitter) que a empresa recebeu um alerta de “programa de recompensas por bugs” de um pesquisador de segurança em 9 de junho sobre uma vulnerabilidade que permite aos usuários inflar artificialmente seu saldo . O bug “permitiu que um invasor mal-intencionado, nas circunstâncias certas, iniciasse um depósito em nossa plataforma e recebesse fundos em sua conta sem completar totalmente o depósito”, acrescentou Percoco.

Ao receber o relatório, Kraken corrigiu o problema rapidamente e nenhum fundo do usuário foi afetado, observou Percoco.

O que aconteceu depois levantou bandeiras vermelhas para a equipe de Kraken.

O pesquisador de segurança, ao encontrar o bug, supostamente o divulgou a dois outros indivíduos, que então retiraram “fraudulentamente” quase US$ 3 milhões de suas contas Kraken. “Isso veio dos títulos do tesouro da Kraken, não de outros ativos de clientes”, disse Percoco.

O relatório inicial do bug T mencionou as transações dos outros dois indivíduos e, quando Kraken pediu mais detalhes de suas atividades, eles recusaram.

“Em vez disso, eles exigiram uma ligação com sua equipe de desenvolvimento de negócios (ou seja, seus representantes de vendas) e não concordaram em devolver nenhum dinheiro até fornecermos uma quantia especulada de dólares que esse bug poderia ter causado se eles não o tivessem divulgado. -hat hackear, é extorsão!" Percoco escreveu.

Kraken T revelou quem eram os pesquisadores, mas o editor de código blockchain Certik disse posteriormente em uma postagem nas redes sociais que encontrou várias vulnerabilidades na troca de Cripto .

A Certik disse que conduziu “testes de vários dias” e observou que o bug poderia ser explorado para criar Cripto no valor de milhões de dólares. "Milhões de dólares podem ser depositados em QUALQUER conta Kraken. Uma enorme quantidade de Cripto fabricadas (no valor de mais de 1 milhão de dólares) pode ser retirada da conta e convertida em criptomoedas válidas. Pior ainda, nenhum alerta foi acionado durante os testes de vários dias período", dizia o post.

No entanto, Certik disse que as coisas azedaram após a conversa inicial com Kraken. “A equipe de operação de segurança da Kraken AMEAÇOU funcionários individuais da CertiK a reembolsar uma quantidade incompatível de Cripto em um prazo IRRAZOÁVEL, mesmo SEM fornecer endereços de reembolso”, acrescentou o post X.

Os programas de recompensa de bugs – utilizados por muitas empresas para reforçar os seus sistemas de segurança – convidam hackers terceiros, conhecidos como “white hats”, a encontrar vulnerabilidades para que a empresa possa corrigi-las antes que um agente malicioso as explore. A concorrente da Kraken, a Coinbase, possui um programa semelhante para ajudar a alertar a troca de vulnerabilidades.

Para receber a recompensa, o programa da Kraken exige que um terceiro encontre o problema, explore a quantia mínima necessária para provar o bug, devolva os ativos e forneça detalhes da vulnerabilidade, disse Kraken em uma postagem no blog , acrescentando que desde os pesquisadores de segurança T Siga essas regras, eles T receberão a recompensa.

"Envolvemos esses pesquisadores de boa fé e, em linha com uma década de execução de um programa de recompensas por bugs, oferecemos uma recompensa considerável por seus esforços. Estamos decepcionados com esta experiência e agora estamos trabalhando com agências de aplicação da lei para recuperar o ativos desses pesquisadores de segurança", disse um porta-voz da Kraken à CoinDesk.

Leia Mais: Seu projeto Cripto precisa de um xerife, não de um caçador de recompensas

ATUALIZAÇÃO (19 de junho, 18h30 UTC): Atualiza a história para adicionar comentários de Certik.