Kraken diz que hackers recorreram à ‘extorsão’ após explorar bug por US$ 3 milhões

Como analista com vasta experiência na indústria de criptomoedas e segurança cibernética, considero profundamente preocupante o recente encontro de Kraken com os chamados “pesquisadores de segurança”. Embora seja louvável que a Kraken tenha resolvido rapidamente uma vulnerabilidade reportada na sua plataforma, os eventos subsequentes levantam sérias questões sobre as intenções destes indivíduos.

Como pesquisador que descobriu uma vulnerabilidade de segurança na plataforma Kraken, descobri que alguns indivíduos que se diziam especialistas em segurança exploraram essa fraqueza e retiraram aproximadamente US$ 3 milhões das reservas da exchange. Para minha consternação, em vez de denunciar responsavelmente este problema à Kraken ou cooperar com eles para o corrigir, estes indivíduos escolheram uma abordagem exorbitante, ameaçando revelar mais vulnerabilidades se as suas exigências não fossem satisfeitas.

Nick Percoco, chefe de segurança da Kraken, anunciou na plataforma de mídia social X (anteriormente Twitter) que um alerta de segurança foi acionado no “programa de recompensas de bugs” da Kraken em 9 de junho. Sob certas condições, um hacker sem escrúpulos pode fazer depósitos na plataforma e receber fundos sem concluir totalmente o processo de depósito.

Depois de receber o relatório, a Kraken resolveu prontamente o problema sem qualquer impacto nos fundos dos usuários, segundo a Percoco.

O que aconteceu depois levantou bandeiras vermelhas para a equipe de Kraken.

Como analista de segurança, me deparei com uma vulnerabilidade no sistema e optei por compartilhá-la com duas pessoas. Infelizmente, eles exploraram esta informação em seu benefício, retirando aproximadamente 3 milhões de dólares das reservas do Kraken em vez dos seus próprios fundos. É importante esclarecer que esses recursos pertenciam à tesouraria da Kraken e não a ativos de outros clientes.

No relatório original, o envolvimento das outras duas pessoas e os detalhes de suas transações foram omitidos. A pedido da Kraken para obter mais informações sobre suas ações, eles se recusaram a fornecê-las.

Em vez do reembolso, eles insistiram em conversar com sua equipe de desenvolvimento de negócios e se recusaram a devolver os fundos até que fosse apresentado um custo estimado para o impacto do bug. Este comportamento não é hacking ético; isso se qualifica como extorsão. (declaração de Percoco)

Como investidor em criptografia, estou sempre em busca de maneiras pelas quais minhas exchanges favoritas possam melhorar seus sistemas de segurança. Um método eficaz usado por algumas plataformas é convidar hackers terceirizados, geralmente chamados de “chapéus brancos”, por meio de programas de recompensa de bugs. Ao fazer isso, empresas como a Kraken e sua concorrente Coinbase podem identificar proativamente vulnerabilidades em seus sistemas. Isto permite-lhes resolver estes problemas antes que agentes maliciosos os explorem, garantindo um ambiente mais seguro para todos os utilizadores, incluindo eu como investidor.

Para receber a recompensa, o programa da Kraken estipula que uma parte externa deve identificar um problema, utilizar a menor quantia necessária para validar o bug, devolver os bens apreendidos e divulgar os detalhes da vulnerabilidade. No entanto, uma vez que os investigadores de segurança não aderiram a estas directrizes, perderão a recompensa.

Um representante da Kraken compartilhou com a CoinDesk que colaboramos de forma confiável com esses pesquisadores e, aderindo à nossa tradição de dez anos de recompensar os localizadores de bugs, presenteamos-lhes com uma compensação substancial. Estamos descontentes com este incidente e estamos atualmente cooperando com as autoridades policiais para recuperar os ativos roubados dos pesquisadores de segurança.