Corretora encontra bug crítico que permitia ‘impressão’ de criptomoedas

A Kraken, uma das maiores corretoras de criptomoedas do mundo, revelou ter encontrado um bug crítico em sua plataforma. Em suma, a vulnerabilidade permitia que hackers imprimissem dinheiro para suas contas.

As informações foram apresentadas por Nick Percoco, diretor de segurança da Kraken, nesta quarta-feira (19).

“Descobrimos um bug isolado”, escreveu Percoco. “Isso permitia que um atacante mal-intencionado, sob as circunstâncias certas, iniciasse um depósito em nossa plataforma e recebesse fundos em sua conta sem o completar totalmente.”

“Para deixar claro, os ativos de nenhum cliente estiveram em risco. No entanto, um atacante mal-intencionado poderia, efetivamente, “imprimir” ativos em sua conta da Kraken por um período.”

To be clear, no client’s assets were ever at risk. However, a malicious attacker could effectively print assets in their Kraken account for a period of time.

— Nick Percoco (@c7five) June 19, 2024

Seguindo, o executivo da Kraken destaca que a falha foi corrigida em 47 minutos e, portanto, não representa mais nenhuma ameaça.

Kraken dá mais detalhes sobre a vulnerabilidade

Explicando a situação, a Kraken revelou que o bug estava relacionado a uma recente mudança em seu site que permitia que seus usuários negociassem criptomoedas antes que os depósitos fossem confirmados.

No total, três contas teriam abusado da falha, uma delas estava no nome do hacker que enviou o relatório à corretora.

“Esse indivíduo descobriu o bug em nosso sistema de financiamento e o utilizou para creditar US$ 4 em criptomoedas na sua conta”, escreveu a Kraken. “No entanto, esse “pesquisador de segurança” divulgou esse bug para duas outras pessoas com quem trabalha, que geraram fraudulentamente somas muito maiores.”

“Eles acabaram retirando quase US$ 3 milhões de suas contas da Kraken.”

Instead, the ‘security researcher’ disclosed this bug to two other individuals who they work with who fraudulently generated much larger sums. They ultimately withdrew nearly $3 million from their Kraken accounts. This was from Kraken’s treasuries, not other client assets.

— Nick Percoco (@c7five) June 19, 2024

É aqui que a história fica ainda mais interessante. Isso porque a corretora e os hackers entraram em uma disputa.

Kraken acusa hackers de extorsão

A vulnerabilidade foi informada para a corretora através de seu programa de recompensa por bugs. Segundo a página da Kraken, os prêmios variam entre 500 a 1,5 milhão de dólares, dependendo da gravidade da falha.

No entanto, Nick Percoco afirma que os hackers não divulgaram os dados sobre as outras duas contas que levantaram US$ 3 milhões. Na sequência, o diretor de segurança da Kraken nota que os hackers não aceitaram os termos do programa, mas sim impuseram novos.

“Eles exigiram uma ligação com a equipe de desenvolvimento de negócios deles”, escreveu Percoco. “Não concordaram em devolver nenhum fundo até que forneçamos um valor especulado em dólares que esse bug poderia ter causado se eles não o tivessem divulgado.”

“Isso não é hacking ético (white-hat), é extorsão!”

Instead, they demanded a call with their business development team (i.e. their sales reps) and have not agreed to return any funds until we provide a speculated $ amount that this bug could have caused if they had not disclosed it. This is not white-hat hacking, it is extortion!

— Nick Percoco (@c7five) June 19, 2024

Finalizando, Percoco afirma que a Kraken está “sendo acusada de ser irracional e não-profissional por solicitar a devolução dos fundos”. Portanto, esse foi o motivo da divulgação das informações sobre essa história.

“Isso faz de você e sua empresa, criminosos”, disse o executivo sobre o comportamento dos hackers, notando que já entraram em contato com autoridades. O nome da empresa que descobriu o bug não foi revelado.