A corretora de criptomoedas Kraken afirmou que foi vítima de uma extorsão dos próprios hackers que a invadiram. Ou seja, os “pesquisadores de segurança” encontraram uma vulnerabilidade na plataforma, retiraram cerca de US$ 3 milhões do tesouro da empresa e depois extorquiram-a.
Nick Percoco, chefe de segurança da Kraken, disse em uma postagem no X que a empresa recebeu um alerta do “programa de recompensas por bugs”. O alerta remetia a um pesquisador de segurança sobre uma vulnerabilidade que permitia aos usuários inflar artificialmente seu saldo.
“O bug “permitia que um atacante mal-intencionado, sob as circunstâncias certas, iniciasse um depósito na nossa plataforma e recebesse fundos na sua conta sem completar totalmente o depósito”, acrescentou Percoco. Ou seja, o bug permitia com que usuários criassem criptomoedas do ar, mas no saque o saldo viria da tesouraria da corretora.
Após receber o relatório, a Kraken corrigiu rapidamente o problema. Ademais, nenhum fundo de usuário foi afetado, observou Percoco.
Hackers avisaram a Kraken, mas antes roubaram US$ 3 milhões
Contudo, foi o que ocorreu depois que levantou sinais de alerta para a equipe da Kraken. O pesquisador de segurança, após encontrar o bug, supostamente divulgou-o a duas outras pessoas, que então “fraudulentamente” retiraram quase US$ 3 milhões de suas contas na Kraken.
“Isso foi do tesouro da Kraken, não de ativos de outros clientes”, disse Percoco. O relatório inicial do bug não mencionava as transações das duas outras pessoas e, quando a Kraken pediu mais detalhes sobre suas atividades, eles se recusaram.
“Em vez disso, exigiram uma ligação com a equipe de desenvolvimento de negócios (ou seja, seus representantes de vendas) e não concordaram em devolver nenhum fundo até que fornecêssemos um valor especulativo em dólares que esse bug poderia ter causado se não tivessem divulgado. Isso não é hacking de chapéu branco, é extorsão!” escreveu Percoco.
A Kraken não divulgou quem eram os pesquisadores, mas o editor de código blockchain Certik afirmou posteriormente em uma postagem na mídia social que encontrou várias vulnerabilidades na exchange de criptomoedas.
A Certik disse que conduziu “testes de vários dias” e observou que o bug poderiam usar o bug para criar milhões de dólares em criptomoedas.
“Milhões de dólares podem ser depositados em QUALQUER conta da Kraken. Uma grande quantidade de criptomoedas fabricadas (no valor de mais de 1M+ USD) pode ser retirada da conta e convertida em criptomoedas válidas. Pior ainda, nenhum alerta foi acionado durante o período de teste de vários dias”, dizia a postagem.
Ameaças e extorsões
No entanto, a Certik disse que as coisas azedaram após a conversa inicial com a Kraken. “A equipe de operações de segurança da Kraken AMEAÇOU funcionários individuais da CertiK para devolver um valor DESAJUSTADO de criptomoedas em um tempo IRRAZOÁVEL, mesmo SEM fornecer endereços de reembolso”, acrescentou a postagem no X.
As empresas frequentemente usam para fortalecer seus sistemas de segurança. Neles, as corretoras convidam hackers de terceiros, conhecidos como “chapéus brancos”, para encontrar vulnerabilidades. Assim, a empresa pode corrigi-las antes que um ator mal-intencionado as explore.
Para receber a recompensa, o programa da Kraken exige que um terceiro encontre o problema, explore o mínimo necessário para provar o bug. Depois, devolva os ativos e forneça detalhes da vulnerabilidade, disse a Kraken em um post no blog. A corretora acrescentou que, como os pesquisadores de segurança não seguiram essas regras, não receberão a recompensa.
$100 de bônus de boas vindas. Crie sua conta na melhor corretora de traders de criptomoedas. Acesse ByBit.com