Pesquisadores de Segurança Roubaram Quase $3 Milhões em Cripto da Kraken

A exchange de cripto Kraken divulgou na quarta-feira que quase $3 milhões em criptomoedas foram roubados de suas carteiras devido à exploração de uma vulnerabilidade relacionada a um bug de dia zero, que agora foi corrigida.

Nick Percoco, Diretor de Segurança da Kraken, usou a plataforma de mídia social X (anteriormente Twitter) para divulgar que receberam um alerta do “Programa de Recompensa por Bugs” de um pesquisador de segurança em 9 de junho de 2024, notificando-os sobre uma vulnerabilidade “extremamente crítica” que permitia que qualquer um aumentasse artificialmente o valor do saldo de sua conta Kraken.

Ao investigar o relatório, a Kraken encontrou um bug isolado que permitia que atores maliciosos, nas circunstâncias certas, iniciassem um depósito em sua plataforma e recebessem fundos em sua conta, mesmo que o depósito falhasse.

“Para ser claro, os ativos de nenhum cliente estavam em risco. No entanto, um atacante malicioso poderia efetivamente imprimir ativos em sua conta Kraken por um período de tempo”, explicou Percoco.

Percoco afirma que a equipe de segurança da Kraken classificou essa vulnerabilidade como Crítica e resolveu o problema em uma hora, evitando mais perdas. A equipe também testou minuciosamente a solução para proteger contra problemas semelhantes no futuro.

“Nossa equipe encontrou uma falha decorrente de uma recente mudança na experiência do usuário que creditaria prontamente as contas dos clientes antes que seus ativos fossem liberados – permitindo que os clientes efetivamente negociassem nos mercados de cripto em tempo real. Essa mudança na experiência do usuário não foi testada minuciosamente contra esse vetor de ataque específico”, acrescentou Percoco.

Após corrigir o bug, a equipe da Kraken descobriu que três contas já haviam explorado o bug de dia zero em poucos dias, retirando coletivamente quase $3 milhões do tesouro da exchange.

Atualização de Segurança da Kraken: Em 9 de junho de 2024, recebemos um alerta do programa de recompensa por bugs de um pesquisador de segurança. Nenhum detalhe específico foi inicialmente divulgado, mas seu e-mail afirmava ter encontrado um bug “extremamente crítico” que lhes permitia inflar artificialmente seu saldo em nossa plataforma. — Nick Percoco (@c7five) 19 de junho de 2024

Em uma investigação mais aprofundada, descobriram que uma conta estava ligada a um indivíduo que havia completado o processo de verificação KYC da Kraken, alegando ser um pesquisador de segurança. Essa pessoa inicialmente testou o bug e creditou sua conta com $4 em cripto, o que teria sido suficiente para provar a falha e ser recompensado através do programa de recompensa por bugs da Kraken.

No entanto, Percoco diz que o ‘pesquisador de segurança’ em vez disso divulgou o bug de dia zero para duas outras pessoas associadas ao pesquisador, que retiraram fraudulentamente um adicional de $3 milhões de suas contas Kraken. Ele enfatizou que esses fundos roubados eram do tesouro da Kraken, e não de outras contas de clientes.

Como as transações das duas outras pessoas não foram completamente divulgadas no relatório inicial do Programa de Recompensa por Bugs, a equipe da Kraken contatou o pesquisador para mais detalhes sobre suas atividades. No entanto, Percoco diz que os pesquisadores se recusaram a devolver a cripto ou compartilhar qualquer informação sobre a falha, o que é uma prática comum para qualquer programa de recompensa por bugs.

“Em vez disso, eles exigiram uma ligação com sua equipe de desenvolvimento de negócios (ou seja, seus representantes de vendas) e não concordaram em devolver quaisquer fundos até que fornecêssemos um valor especulado que esse bug poderia ter causado se não o tivessem divulgado. Isso não é hacking de chapéu branco, é extorsão!” afirmou Percoco.

A resposta da Kraken ao incidente tem sido transparente. Percoco destacou a importância do comportamento ético na comunidade de cibersegurança, dizendo: “Como pesquisador de segurança, sua licença para ‘hackear’ uma empresa é habilitada pelo cumprimento das simples regras do programa de recompensa por bugs no qual você está participando. Ignorar essas regras e extorquir a empresa revoga sua ‘licença para hackear’.”

Percoco diz que a Kraken não está revelando as identidades dos pesquisadores, pois “eles não merecem reconhecimento por suas ações”. Além disso, a Kraken agora está tratando este caso como uma questão criminal e coordenando com agências de aplicação da lei para recuperar os fundos roubados.

“Nós envolvemos esses pesquisadores de boa fé e, em linha com uma década de execução de um programa de recompensa por bugs, oferecemos uma recompensa considerável por seus esforços. Estamos desapontados com essa experiência e agora estamos trabalhando com agências de aplicação da lei para recuperar os ativos desses pesquisadores de segurança”, disse um porta-voz da Kraken em um comunicado.