Bug de segurança em criptomoedas: Kraken encontra vulnerabilidade que permite “impressão” de criptomoedas

Gustavo MoraisÚltima Atualização junho 20, 2024

2 minutos de leitura

Em uma revelação chocante, a corretora de criptomoedas Kraken divulgou a descoberta de um bug crítico em sua plataforma, um verdadeiro “bug de segurança em criptomoedas” que permitia a “impressão” de criptomoedas. A falha foi descoberta através do programa de recompensa por bugs da empresa, que oferece prêmios entre 500 a 1,5 milhão de dólares, dependendo da gravidade da falha.

Kraken descobre falha que permite ‘impressão’ de criptomoedas

Nick Percoco, diretor de segurança da Kraken, anunciou a descoberta desta vulnerabilidade alarmante. “Descobrimos um bug isolado”, explicou Percoco. “Sob certas circunstâncias, um atacante mal-intencionado poderia iniciar um depósito na nossa plataforma e receber fundos em sua conta sem completar o processo.”

Apesar de garantir que os ativos dos clientes não estavam em risco, a falha permitia que um atacante “imprimisse” ativos na Kraken por um período. Felizmente, a vulnerabilidade foi corrigida em apenas 47 minutos, eliminando a ameaça.

Detalhes sobre a vulnerabilidade

A Kraken forneceu mais detalhes sobre a situação. A vulnerabilidade estava relacionada a uma recente mudança no site da empresa que permitia negociações de criptomoedas antes da confirmação dos depósitos. No total, três contas abusaram da falha, sendo uma delas pertencente ao hacker que relatou o bug.

Este “pesquisador de segurança” utilizou o bug para creditar US$ 4 em criptomoedas em sua conta e, posteriormente, divulgou o bug para dois colegas que retiraram quase US$ 3 milhões fraudulentamente de suas contas da Kraken.

Instead, the ‘security researcher’ disclosed this bug to two other individuals who they work with who fraudulently generated much larger sums. They ultimately withdrew nearly $3 million from their Kraken accounts. This was from Kraken’s treasuries, not other client assets.
— Nick Percoco (@c7five) June 19, 2024

Kraken acusa hackers de extorsão

A história tomou um rumo inesperado quando a Kraken acusou os hackers de extorsão. Segundo Percoco, os hackers não revelaram informações sobre as duas contas que retiraram os US$ 3 milhões e impuseram novos termos para devolver os fundos. “Isso não é hacking ético (white-hat), é extorsão!”, afirmou Percoco.

Os hackers exigiram uma ligação com a equipe de desenvolvimento de negócios da Kraken e um valor especulativo em dólares pelo bug, caso não o tivessem divulgado. Diante da negativa dos hackers em devolver os fundos, a Kraken decidiu divulgar toda a situação publicamente.

Conclusão: um alerta para o mercado de criptomoedas

Este incidente destaca a importância da segurança em plataformas de criptomoedas. A descoberta e rápida correção da falha pela Kraken mostram o compromisso da empresa com a segurança dos usuários. No entanto, a tentativa de extorsão pelos hackers levanta preocupações sobre a ética no hacking e a necessidade de práticas mais robustas para lidar com vulnerabilidades.

Instead, they demanded a call with their business development team (i.e. their sales reps) and have not agreed to return any funds until we provide a speculated $ amount that this bug could have caused if they had not disclosed it. This is not white-hat hacking, it is extortion!
— Nick Percoco (@c7five) June 19, 2024

A Kraken já entrou em contato com as autoridades e continua a investigar o caso. A divulgação desta vulnerabilidade serve como um lembrete para todos no mercado de criptomoedas: a segurança deve ser sempre uma prioridade.

Fique atento a futuras atualizações sobre este incidente e lembre-se, a segurança das suas criptomoedas depende tanto da integridade da plataforma quanto da vigilância constante contra possíveis ameaças.