Como pesquisador com vasta experiência em segurança cibernética e tecnologia blockchain, considero o recente incidente envolvendo a exchange Kraken profundamente preocupante. O facto de uma falha crítica de segurança ter sido explorada, resultando no roubo de ativos digitais no valor de 3 milhões de dólares, é alarmante. No entanto, o que torna esta situação ainda mais preocupante é a aparente tentativa de extorsão por parte da equipa de investigação.
Oi pessoal! Você já cansou de viver na pobreza enquanto as criptomoedas estão curtindo uma vida de luxo? Então junte-se ao nosso canal @Crypnoticias no Telegram, onde compartilhamos notícias sobre criptomoedas em português - porque quem precisa de dinheiro de verdade quando você pode nadar em Dogecoins? Venha para o lado selvagem da especulação financeira, onde o único risco é perder tudo... ou ganhar um foguete para a lua! 😂💰🚀
☞ Junte-se ao Telegram
Há alguns dias, Kraken, uma importante bolsa de criptomoedas, revelou que havia sofrido uma violação de segurança significativa. Lamentavelmente, este incidente permitiu que um grupo de pesquisa se apropriasse indevidamente de aproximadamente US$ 3 milhões em ativos digitais da plataforma.
Em 9 de junho, uma falha relatada foi levada ao conhecimento da equipe de incidentes por meio do programa de recompensas por bugs da empresa, por um indivíduo que se identificou como pesquisador de segurança. Ele alegou que havia descoberto um problema significativo, que lhe permitiu aumentar de forma imprecisa o saldo de sua conta na plataforma.
🚨 URGENTE: Dólar x Real em ALTA HISTÓRICA! Veja a previsão CHOCANTE!
Confira agora!O inesperado desenvolvimento da situação surgiu quando se descobriu que o investigador e a sua equipa tinham aproveitado uma fraqueza para fugir com uma grande quantidade de fundos. Em resposta, Kraken iniciou uma investigação criminal sobre esta má conduta e está colaborando com os órgãos responsáveis pela aplicação da lei para lidar com a situação.
Kraken enfrenta tentativa de extorsão
Como investigador que investiga incidentes de cibersegurança, gostaria de contar que, ao receber um relatório inicial de uma potencial vulnerabilidade de segurança, o chefe de segurança da Kraken, Nick Percoco, formou prontamente uma equipa multidisciplinar para aprofundar o assunto e conduzir uma investigação aprofundada.
Como pesquisador, identifiquei rapidamente um problema no sistema em que um agente mal-intencionado poderia iniciar um depósito, receber fundos com sucesso antes de concluir a transação e gerar ativos temporariamente em uma conta Kraken.
Uma vulnerabilidade crítica foi identificada e prontamente resolvida pela equipe em uma hora, evitando sua recorrência. Esse problema surgiu de um novo recurso de experiência do usuário (UX), que permite a negociação de criptografia em tempo real antes da liberação de ativos, que não havia sido submetido a testes extensivos para esse cenário de ameaça específico.
Descobriu-se que três contas exploraram a vulnerabilidade identificada em um curto espaço de tempo. Acredita-se que uma dessas contas pertença a um indivíduo que se apresentou como pesquisador de segurança, que divulgou o bug e recebeu em troca uma quantia mínima de criptomoeda como prova do problema.
Como analista, descobri uma vulnerabilidade significativa no sistema do Kraken que poderia ter sido explorada para ganhar uma recompensa substancial de recompensa por bugs. No entanto, em vez de relatar esta descoberta de forma responsável, optei por confiar em dois associados. Infelizmente, estes indivíduos aproveitaram-se da situação e manipularam o sistema para gerar somas muito maiores do que o que era devido. No final, nós três retiramos impressionantes US$ 3 milhões dos tesouros de Kraken.
Quando Kraken solicitou os fundos devolvidos, os pesquisadores recusaram, insistindo em conversações com sua equipe de desenvolvimento de negócios e propondo uma perda estimada que o bug não identificado poderia ter causado se mantido oculto.
Ação Legal Contra Empresa de Pesquisa
Em sua declaração, a Kraken condenou veementemente os métodos utilizados por nossa equipe, rotulando nossas ações como “extorsão” em vez de reconhecê-las como práticas éticas de hacking.
Por quase uma década, a bolsa operou um programa Bug Bounty, onde não encontrou problemas com pesquisadores autênticos e aderiu consistentemente às diretrizes estabelecidas. Essas regras incluem evitar a exploração além do mínimo exigido para verificação, apresentar uma demonstração funcional da falha e restaurar instantaneamente quaisquer bens apreendidos.
O diretor de segurança da bolsa Kraken afirmou que considera o recente incidente um assunto criminal e está atualmente colaborando com as autoridades em sua investigação. Embora tenham reconhecido o relatório, a Kraken planeia iniciar um processo judicial contra a empresa de investigação responsável pelo incidente.
2024-06-20 03:11